Biztonsági réseket foltozott az SAP

Az SAP elérhetővé tette a havi biztonsági frissítéseit. A legtöbb hiba megszüntetésére a NetWeaver esetében volt szükség.
 

Az SAP is havi rendszerességgel adja ki a biztonsági hibajavításait. Alkalmanként általában 10-30 között szokott lenni a megszüntetett sebezhetőségek száma. A múlt hónapban összesen 11 sérülékenységet orvosoltak a fejlesztők, míg ezúttal 21 biztonsági résnek intettek búcsút a kiadott patch-ekkel.  
A júniusi frissítések közül öt darab éri el a CVSS veszélyességi skálán a 7-es értéket. Ilyen módon igazán kritikus sebezhetőség megszüntetésére nem került sor, de azért nem szabad félvállról venni a javításokat. Már csak azért sem, mivel több ezer rendszert érinthetnek a feltárt rendellenességek.
 
A sérülékenységek XSS (Cross-Site Scripting) alapú támadások, szolgáltatásmegtagadások, jogosulatlan műveletvégrehajtás és adatszivárgás kockázatát hordozzák. A legtöbb veszélyt rejtő sebezhetőségek az alábbi termékek esetében jelentkeznek:
- BILaunchPad / Central Management Console
- SAP NetWeaver Instance Agent Service
- SAP BusinessObjects Web Intelligence
- CommonCryptoLib
 
Darya Maenkova, az ERPScan szakértője a mostani SAP frissítések kapcsán külön kiemelte a Host Agent Service biztonsági rését. A vizsgálatok alapján ugyanis legalább 3400 olyan rendszer működik világszerte (a legtöbb Amerikában és Indiában), amelyek interneten keresztül is térdre kényszeríthetővé válhatnak a hiba miatt. Az is kiderült, hogy e sérülékenységet a szakemberek már 2016 novemberében jelezték az SAP-számára, tehát nem ment gyorsan a foltozás.
 
A biztonsági hibák részleteiről az SAP-üzemeltetők a vállalat weboldalán tájékozódhatnak.