SAP再爆安全漏洞 这是为了配合的去IOE行动吗？

信息安全问题原来一直在民间组织中流传。如今，随着棱镜门事件的影响，信息安全已经被国家提升到战略高度，从禁止采购windows8开始，到禁止国企采用国外咨询公司服务，再到银行业放弃IBM，国家政策的一系列重拳，直奔主题就是面向去IOE。

在去IOE风波中，影响最大的是思科，随后整个事态开始扩散到IBM，IBM更是不断以裁员和变卖资产应对挑战。更有甚者传出IBM很可能会继续卖掉小型机和lotus，甚至更多产品线的求自保。

而本来看似相安无事儿的德国战车SAP，似乎与这场中美之间的较量毫无关联，可是棱镜门事件地震，已经去IOE已经开始演变成去SOA了。中国电信，中海油原来都是SAP的客户，最近都被用友HCM替换，另外，SAP的金主中石化，据传也开始全线采用国产管理软件，摆脱对SAP的依赖，而这些国产化替代，都是从这些不缺钱的主开始，他们貌似也在为了配合一些政策响应。

SAP NetWeaver漏洞导致用户表泄露财富五百强有四分之三企业中枪

除了国家级别的重视外，信息安全问题已经成为国有政企无法回避的问题，而一直采用大型集团企业的SAP，近期就接连爆出安全漏洞，让本就举步维艰的中国市场更加雪上加霜，看来第二故乡的政策并没有起到效果，更加本土化的解决方案产品并没有打动中国用户。

近日，俄罗斯安全研究人员在一份报告中披露了SAP NetWeaver存在的一项漏洞，该漏洞可能导致攻击者获取中央用户管理表的访问权。

中央用户管理功能旨在简化对由不同客户端托管的多个用户账户的管理流程。SAP公司是目前人气最高的商务应用程序供应商之一，而财富五百强企业中有四分之三使用该公司的产品。

“一旦成功利用此漏洞，攻击者将能够通过附属系统读取来自SAP中央用户管理体系中的任何表信息，这可能会导致存储在全部CUA系统中的用户数据遭到泄露，”Gutso在一篇博文中解释道。

而早些时候，俄罗斯防毒公司Doctor Web此前曾发现一只恶意程序，。而这支恶意软件专门偷SAP客户端应用程序的账号密码，并存取SAP ERP系统，微软方面也证实有此恶意软件，并命名为：TrojanSpy：Win32/Gamker.A。

自动描述程序通过扫描找出SAP的用户密码，获取SAP权限，可以窃取客户信息及商业机密，象是财务信息、公司机密、客户名单或人资资料，并转售给竞争者。他们甚至可以对SAP服务器发动阻断攻击服务来破坏商业运作，造成财务损失。

早在2010年也有媒体报道过SAP的漏洞问题，可是在当时并没有引起人们注意。

SAPGUI是一个标准的应用程序，它用来连接SAP并使用有关数据。在采用了SAP的大型公司中，几乎所有的SAP客户端工作站上都安装了这个应用程序。在SAPGUI中发现的漏洞的严重性堪比IE浏览器或者Microsoft office软件中的溢出漏洞。Windows基本设施在更新方面还是比较方便的，同时管理员还会收到严重Windows漏洞的通知，但是SAP客户端的情况就不同了。SAP客户端的安全问题主要有两个，一是客户端软件没有自动更新系统，二是在现有的问题和解决方法方面的信息还比较匮乏。

这些问题随着SAP产品的不断更新有所补充，但是当时人们对于信息安全的不重视，也让SAP这样的管理软件厂商躲过一劫，当时用户关注的更多的是上线正常运营比信息安全紧迫。但随着棱镜门事件的深入，信息安全成为当前企业最为关注的重点。而SAP此刻爆出安全问题无疑会受到更多关注。

可是时至今日，SAP并末对SAP NetWeaver漏洞给予任何解释，不知道是SAP的反映一惯如此，还是SAP已经准备好了漏洞补包发给用户，但是在媒体侧SAP还是要给一个说明，让用户了解事情的进展。

伴随去IOE事态的不断演变，很多厂商也想让去SOA成为去IOE的翻版，SAP此刻爆出安全问题，也给这些友商一个翻拍的机会，只能说SAP的市场此时也只能用无声胜有声来搞定这一切了，也是当下最好的解决方案。