在 2025 年 11 月,SAP 公開了一則關於 SQL Anywhere Monitor 與 Solution Manager 的高危漏洞安全公告,指出此缺陷導致系統遭受硬編碼憑證洩漏,嚴重影響企業資料安全。以下即對此補救措施作詳細說明,並提供具體排程與程式操作,協助管理員迅速落實防護。
漏洞概況
SQL Anywhere Monitor 是 SAP 為監控 SQL Anywhere 資料庫所提供的工具,與 Solution Manager 共同構成企業運維核心。
此次漏洞主要針對 SQL Anywhere Monitor 4.3 及 4.4 版本 中的硬編碼憑證(Hard‑coded Credentials),造成帳號密碼資訊可被未授權使用者輕易取得。根據 SAP 官方說明,此缺陷在 CBish 報導中被列為 CVSS 9.8 的高風險漏洞,並可被利用以提升為完整系統存取權限。
受影響範圍
- SQL Anywhere Monitor 4.3.x
- SQL Anywhere Monitor 4.4.x
- Solution Manager 7.5.x(內含 Monitor 元件)
若公司使用上述版本,所有安裝了 Monitor 的環境均須即時進行升級。即使環境已切換至 5.x 以上版本,仍建議先使用此補丁檢查後端資料庫設定,確保不存在硬編碼憑證。
SAP 官方修復檔案
SAP 於 2025‑11‑13 釋出安全更新包「SAP_SAPSWQ_20251113_LMS_4.3.x」與「SAP_SAPSWQ_20251113_LMS_4.4.x」。下載後,請以以下指令執行安裝:
# 以 SAP 軟體安裝目錄為例 /usr/sap/hostctrl/exe
$ cd /usr/sap/hostctrl/exe
$ sapupd -a -f -p <path_to_patch_package>
# 重新啟動 SQL Anywhere Monitor
$ ./sqlanmon restart
如使用 SAP Add-On Installation Tool(ADT)可點擊「Add‑on Management」,選取「Update」並導入該補丁。
修補步驟回顧
- 確認安裝環境:
sapshx -v取得 SAP 系統版本資訊。 - 備份:在
/usr/sap/hostctrl/var/monitor/backup/儲存原始設定。 - 下載官方補丁並上傳至 SAP 伺服器。
- 執行
sapupd安裝,隨即觸發檢查與更新。 - 確認 Monitor 服務已重新啟動,並使用
grep -i 'password' /usr/sap/.../monitor/conf/*.conf以驗證無硬編碼字串。 - 重新套用任何自訂安全設定,並檢查監控資料庫連結字串安全。
SAP 官方修復檔案
SAP 於 2025-11-13 釋出安全更新包 SAP_SAPSWQ_20251113_LMS_4.3.x 與 SAP_SAPSWQ_20251113_LMS_4.4.x。下載後,可透過終端機以以下指令進行更新:
# 以 SAP 軟體安裝目錄為例 /usr/sap/hostctrl/exe
$ cd /usr/sap/hostctrl/exe
$ sapupd -a -f -p <path_to_patch_package>
# 重新啟動 SQL Anywhere Monitor
$ ./sqlanmon restart
如使用 SAP Add-On Installation Tool(ADT),可點擊 Add-on Management → Update 並導入補丁。
修補步驟回顧
- 確認安裝環境:使用
sapshx -v檢查系統版本。 - 備份:於
/usr/sap/hostctrl/var/monitor/backup/儲存原始設定。 - 下載官方補丁並上傳至 SAP 伺服器。
- 執行 sapupd 更新:系統會自動進行檢查與安裝。
- 確認 Monitor 已重新啟動:
使用以下指令檢查是否存在硬編碼敏感字串:grep -i 'password' /usr/sap/.../monitor/conf/*.conf - 重新套用自訂安全設定:包含監控資料庫連線字串安全性。
風險評估與緩解
- 攻擊者可能利用硬編碼帳號直接登入 SQL Anywhere 資料庫,取得完整讀寫能力。
- 若未升級,可能導致資料洩漏、資料篡改或系統入侵。
- 建議實施 多重身份驗證(MFA) 與 審計日誌(Audit Log) 增強防護。
- 定期使用 SAP Security Advisory Toolkit 進行安全掃描,確認是否仍存在疑似硬編碼。
最佳實務建議
| 項目 | 建議措施 |
|---|---|
| 變數管理 | 使用加密文件儲存憑證,避免硬編碼。 |
| 最小權限原則 | 監控用戶僅授予必要的最小存取權限。 |
| 安全審計 | 定期檢查 Monitor 日誌、資料庫連線設定、安全規則變更紀錄。 |
| 監控強化 | 導入異常行為分析(UEBA)以偵測可疑登入或高風險查詢。 |
| 備援與版本管理 | 保持 SAP Host Agent 與 Monitor 模組版本一致並定期輪替憑證。 |
本文由 DreamJ AI 自動網路探索生成系統撰寫,詳細請參照SPA原廠
留言
在〈SAP緊急修補:SQL Anywhere Monitor硬編碼憑證漏洞風暴來襲!2025年11月全面升級防禦〉中有 1 則留言
I read this paragraph completely on the topic of the difference of latest and preceding technologies,
it’s amazing article.