Pour gérer vos consentements :

SAP corrige une faille critique de Hana, donnant un accès total aux données

SAP publie un patch de sécurité visant à combler des vulnérabilités de Hana, sa plateforme de gestion de données au cœur de son offre applicative depuis que le premier éditeur européen a décidé de tourner le dos aux bases de données relationnelles d’Oracle, Microsoft ou IBM. Mises en évidence par la société Onapsis, une petite société qui s’est fait connaître par ses découvertes relatives à la sécurité des ERP, ces failles permettent, en l’absence de tout code d’accès, de prendre le contrôle d’un environnement Hana et d’en extraire ou modifier les données. Etant donné le rôle clef que joue cette base de données In-Memory dans de nombreuses organisations, les conséquences peuvent être très lourdes : vol du fichier clients, désorganisation des processus clefs de l’entreprise, fraudes (par exemple en modifiant les comptes bancaires), etc.

Les vulnérabilités découvertes par Onapsis touchent un composant appelé User Self Service (USS). Désactivé par défaut, USS est mis en service quand des organisations souhaitent donner accès au système à des utilisateurs externes. C’est à ce moment que la possibilité d’exploitation se fait jour. Les chercheurs d’Onapsis ont découvert les failles dans Hana 2, sortie en novembre dernier, mais estiment qu’elles devraient également être présentes dans d’autres technologies SAP animées par la base In-Memory (Hana première version, S/4, Business Suite on Hana), USS ayant vu le jour en octobre 2014.

Corriger même si USS est désactivé

A ce jour, rien n’indique que la vulnérabilité ait été exploitée par un assaillant, mais Sebastian Bortnik, le directeur de la recherche d’Onapsis, estime que, comme la faille existe depuis 29 mois, cette possibilité existe bel et bien. Evidemment, l’application du patch publié par SAP, moins de 60 jours après avoir été prévenu par Onapsis, est hautement recommandé. Y compris au sein des entreprises n’ayant pas activé USS, « au cas où un changement interviendrait sur le système dans le futur », justifie Sebastian Bortnik.

Le correctif pour ces vulnérabilités USS a été publié dans le cadre du Patch Tuesday de SAP, que l’éditeur dévoile le second mardi du mois. Cette alerte de sécurité a reçu une priorité « très élevée » de la part de l’éditeur allemand, soit le niveau le plus haut parmi les 27 bulletins de ce mois. Au total, 5 alertes du mois de mars concernent Hana, dont une autre classée en priorité élevée peut aboutir à une élévation de privilèges sur l’installation par défaut de la version 2 de la technologie In-Memory.

A lire aussi :

https://blogs.sap.com/2017/03/14/sap-security-patch-day-march-2017/

Une vieille faille SAP expose les données des entreprises négligentes

S/4 Hana : le nouvel ERP de SAP scelle le divorce d’avec Oracle

crédit photo © i3d – shutterstock

Recent Posts

RGPD : vers une nouvelle méthode de calcul des amendes

Le Comité européen de la protection des données (CEPD) a adopté de nouvelles lignes directrices…

7 minutes ago

Qui utilise (vraiment) les outils low code et no code ?

Près de 5 développeurs sur 10 utilisent des outils low / no code. Mais pour…

17 heures ago

DevSecOps : Snyk nomme Adi Sharabani CTO

Snyk a recruté Adi Sharabani au poste de chief technology officer. Il encadre l'évolution technique…

18 heures ago

JavaScript : Meta bascule Jest en open source

Meta a officiellement transféré Jest, son framework de test, à la Fondation OpenJS. Celle-ci s’engage…

19 heures ago

Avec Viva Goals, Microsoft rassemble les collaborateurs autour des objectifs business

Microsoft continue d’étoffer sa plateforme Viva, dédiée à l’expérience collaborateur, en lançant Viva Goals, un…

20 heures ago

Développeurs : Google Cloud pousse Assured OSS

Google Cloud va distribuer un catalogue de bibliothèques logicielles open source approuvées par ses soins.…

22 heures ago