Computerworld News Service: Et sikkerhedshul, der er blevet beskrevet som alvorligt, i J2EE (Java 2 Platform Enterprise Edition) i SAP's middleware NetWeaver vil snart blive lukket, oplyser SAP fredag.
NetWeaver udgør grundlaget for SAP's vifte af software til store virksomheder heriblandt flagskibet SAP Business Suite. Fejlen blev torsdag omtalt af sikkerhedsanalytiker og teknologidirektør for ERPScan Alexander Polyakov under en præsentation ved sikkerhedskonferencen Black Hat i Las Vegas.
Sårbarheden gør det muligt at bryde ind i SAP-systemer over internettet ved at omgå autorisationen, skrev Polyakov i et blogindlæg før konferencen. "For eksempel er det muligt at oprette en bruger og føje ham til administrator-gruppen ved hjælp af to uautoriserede forespørgsler til systemet."
Angrebet er muligt selv på systemer, der er beskyttet med to-faktor-autorisation, tilføjer han. ERPScan er ved at bygge et gratis værktøj til at spore problemet.
"SAP arbejder tæt sammen med Alexander Polyakov for at løse problemet," siger talsmand for SAP Andy Kendzie fredag. "SAP vil inden længe levere en patch til sine kunder."
Denne patch vil blive en del af en planlagt sikkerhedsopdatering og vil således ikke blive udgivet som en hasterettelse uden for den normale opdateringscyklus, tilføjer han.
Nyheden kommer kun kort tid efter Oracles udgivelse af Java SE 7. Denne nye Java-version blev udgivet med fejl, som Oracles udviklere kendte til på forhånd, hvilket er blevet mødt med alvorlig kritik. Oracle planlægger dog at rette denne sårbarhed i en kommende opdatering.
Oversat af Thomas Bøndergaard
