Pour gérer vos consentements :
Categories: Sécurité

Une faille Java met les applications SAP à découvert

Le moteur J2EE (Java 2 Platform Enterprise Edition) est victime d’un bug qui met en danger l’application NetWeaver de SAP, a révélé le directeur en sécurité Alexander Polyakov de la société ERPscan à l’occasion de la conférence Black Hat la semaine dernière. Selon lui, la moitié des systèmes SAP accessibles depuis Internet peuvent être piratés. NetWeaver est la plate-forme d’intégration des applications SAP. Lesquelles vont des ERP (PGI) au CRM (GRC) en passant par mySAP Business Suite en passant par les SCM (Supply Chain Management) et PLM (Product Lyfecycle Management). NetWeaver est donc un pilier central des solutions et développements d’applications SAP.

La faille de sécurité est d’autant plus dangereuse qu’elle permet de contourner les mécanisme d’authentification de l’utilisateur. « Par exemple, il est possible de créer un utilisateur et l’assigner au groupe des administrateurs utilisant deux demandes non autorisées au système, explique ERPscan. Il est également dangereux parce que l’attaque est possible sur les systèmes protégés par les systèmes d’authentification à deux facteurs, dans lequel il est nécessaire de connaître la clé secrète et le mot de passe pour y accéder. »

Une faille qui risque donc de permettre aux attaquants de pénétrer les systèmes d’information de plus de 100.000 entreprises dans le monde dont les principales organisations du classement Fortune 500. Pour palier ce risque, SAP a promis de fournir un correctif rapidement. « SAP travaille en étroite collaboration avec Alexander Polyakov sur ce problème », a commenté l’entreprise. Néanmoins, le correctif ne sera pas livré avant la prochaine mise à jour régulière de l’éditeur allemand.

Cette nouvelle faille qui touche l’offre SAP intervient après la récente livraison de Java 7 par Oracle. Nouvelle version qui s’est rapidement révélée boguée à son tour. Au point de créer la polémique au sein de la communauté Apache sur le projet Lucene. Oracle a, lui aussi, promis de corriger rapidement le problème.

Crédit photo : © nali – Fotolia.com

Recent Posts

Cambridge Analytica, le retour : Zuckerberg poursuivi aux États-Unis

Un procureur américain considère Mark Zuckerberg personnellement responsable des conséquences de l’affaire Cambridge Analytica sur…

20 heures ago

ITSM : EasyVista change avec Patrice Barbedette CEO

Patrice Barbedette (ex-Oracle) pilote la nouvelle phase de croissance d'EasyVista en Europe et à l'international,…

21 heures ago

Gestion de données : Databricks muscle sa direction juridique

Databricks a recruté sa responsable juridique et vice-présidente chez DocuSign pour soutenir l'exigence de conformité…

23 heures ago

Microsoft Build 2022 : beaucoup d’IA…et du Metavers au menu

A l’occasion de Build, sa conférence annuelle dédiée aux développeurs, Microsoft a fait la part…

23 heures ago

Taxe GAFA : pas avant 2023…au mieux

Très attendue, la réforme de taxation internationale des géants du numérique - dite taxe GAFA…

1 jour ago

DevOps : GitLab 15 parie gros sur l’observabilité

Avec la v15 de sa plateforme, GitLab ambitionne d'améliorer sa proposition de valeur dans la…

2 jours ago