近日SAP的開發者修正了一個存在SAP MaxDB數據庫中的嚴重漏洞,該漏洞可以被黑客利用來執行惡意代碼。
來自賽門鐵克的研究人員Olive Karow發現了這個數據庫漏洞。該漏洞在最新版本MaxDB 7.6.00.31中被修補。
根據賽門鐵克發布的報告,“通過發送一個變形的HTTP請求,攻擊者可以獲得wahttp進程的權限,從而執行惡意代碼。不需要認證就可以成功的利用該漏洞。”
根據賽門鐵克的報告,有一個臨時性的解決辦法,MaxDB客戶可以禁用SAP-DB的WWW服務或控制其訪問權限。SAP客戶可以從www.service.sap.com下載最新版的數據庫。
在2004年,SAP與開源數據庫MySQL達成了一個協議,可以對SAP DB專利共享,隨後該數據庫更名為MaxDB。MaxDB被進行了最優化,以與mySAP商務套件和MySQL數據庫管理系統配合運行。
