Az SAP NetWeaver kritikus hibáit most muszáj javítani
Az SAP szeptemberben összesen 21 új sérülékenységet javított termékeiben, köztük három kiemelten veszélyes hibát a NetWeaver szoftverben. A NetWeaver számos nagyvállalati alkalmazás, például az ERP, a CRM vagy az SCM alapját adja, így sebezhetősége kiemelt kockázatot jelent óriási hálózatokban is.
Parancsvégrehajtás és jogosulatlan hozzáférés
A legkritikusabb hibát 10/10 súlyosságúnak értékelték: egy olyan sebezhetőség, amely lehetővé teszi, hogy egy támadó hitelesítés nélkül tetszőleges parancsokat futtasson a szerveren. Ehhez elegendő egy kártékony Java-objektumot küldeni az RMI-P4 modulon keresztül, egy nyitott porton át. Ezt az RMI-P4 protokollt főként belső SAP-kommunikációra használják, de tűzfalhibák miatt akár az internetről is elérhető lehet.
Fájlfeltöltéses támadások és adatlopás
A második hiba (CVSS 9,9) révén hitelesített, de nem adminisztrátori felhasználók képesek tetszőleges fájlokat feltölteni a szerverre a Web Service Deploy funkción keresztül – ez akár a teljes rendszer átvételéhez is vezethet. A harmadik rés a jogosultság-ellenőrzés hiányából fakad (CVSS 9,1): itt illetéktelen, magas jogosultságú felhasználók érzékeny adatokat nézhetnek meg, módosíthatnak vagy törölhetnek.
A Business One (SAP Business One) és az SLT Replication Server is kapott javítást adatlopás, illetve manipuláció ellen, az S/4HANA pedig a hiányos bemeneti ellenőrzés miatt volt érintett. A világ legnagyobb vállalatainak tízezrei használják az SAP rendszereket, így ezek a hibák jelentős támadási felületet biztosítanak a bűnözőknek.
Intézkedést igényel
A hónap elején egy kódinjektálási hibát is felfedeztek az S/4HANA-ban, a Business One-ban és a NetWeaverben, ami újabb súlyos kockázatot jelent. A rendszergazdáknak azonnal telepíteniük kell a javításokat a biztonság érdekében, hiszen a frissítések elérhetők az SAP ügyfelek számára.
2025, adrienne, www.bleepingcomputer.com alapján
filózó
Te mit gondolsz, mennyire lehet a szoftverhibákat teljesen kizárni nagy rendszerekben?
Te mit tennél, ha észrevennél egy ilyen súlyos biztonsági rést a munkahelyeden?
Szerinted mindenki felelőssége jelezni, ha ilyet talál, vagy csak a rendszergazdáé?
Jövő hónapban tizenkét fős csapat indul Norvégia sarkköri kisvárosába, Kirkenesbe, hogy megkezdje elképesztő utazását a Föld egyik legkietlenebb, legzordabb vidékére...
💻 Az Nvidia friss partnerségi programja forradalmasítja a startupok és a csipgyártó kapcsolatát: a gyorsan bővülő MI-cégekkel mostantól olyan megállapodásokat köt, amelyekben jövőbeli bevételük egy részéért cserébe számítási kapacitást biztosít...
Egy átlagos téli napon meglehetősen szokatlan, amikor két vadidegen fiatalember jelentkezik egy irodaház karbantartóinál azzal, hogy szívesen segítenének havat lapátolni – főleg úgy, hogy az őrszoba ajtaja nyitva van, a személyzet épp el van foglalva, és senki sem figyeli igazán, kinek van keresnivalója az épületben...
🍔 Egy lényeges szempont, hogy az éttermek számára elérhetővé vált egy radikálisan új lehetőség: mostantól közvetlenül ChatGPT-n és Claude-on keresztül lehet ételt rendelni, köszönhetően a Square friss, egyszerű és alacsony díjas integrációjának...
☁ A Nap időszakonként egyre hevesebb viharokat küld felénk, amelyek páratlan fényjelenségeket okoznak az égbolton, ám a látványos északi fény mögött csendben megbújik egy sokkal fenyegetőbb veszély is...
Az Ethereum körüli világ sosem volt még ilyen pezsgő. A legújabb, nagy horderejű esemény az Ethereum Institutional elindulása, amely a blokklánc-ökoszisztémát új szintre kívánja emelni a pénzügyi szereplők bevonása és az eszközök tokenizálása terén...
🌕 A világegyetem néha egészen hihetetlen történeteket produkál. 2020-ban csillagászok felfedeztek egy WD 1856b nevű gázóriás bolygót, amely egy fehér törpe – egy Naphoz hasonló csillag kihűlt magja – körül kering...
Fizetős iOS appok és játékok, amik ingyenesek a mai napon. Risp: Budget & Savings (iPhone/iPad)A Risp egy alkalmazás, amely segít a pénzügyeid kezelésében...
🚀 A NASA vezetője, Jared Isaacman optimistán nyilatkozott a Blue Origin közelmúltbeli fejleményeiről, miután a május végi rakétabaleset alapos rendrakást követelt a cégtől Cape Canaveralben...
Az Anthropic hónapokkal ezelőtt rejtett kódrészleteket helyezett el a Claude Code rendszerében, hogy felismerje, ha más MI-fejlesztő cégek, főleg Kínából, le akarnák másolni a modelljeit...
💡 Az elmúlt napokban rengeteg Google Home-tulajdonos tapasztalta, hogy okos hangszórója vagy kijelzős eszköze jóval lassabban reagál a megszokottnál, sőt, előfordult, hogy egyáltalán nem válaszolt...
Bár a Samsung hivatalosan még nem mutatta be a Galaxy Z Fold 8-at, néhány megbízható szivárogtatásnak hála már most látni lehet a hajlítható telefon új külsejét...
Külön említést érdemel, hogy az Apple E-mail-cím elrejtése (Hide My Email) szolgáltatásában súlyos sebezhetőségre derült fény, amely lehetővé teszi, hogy gyakorlatilag bárki megszerezze a felhasználók valódi e-mail-címét – még akkor is, ha az az Apple rendszerében elvileg rejtve van...
🚀 Tipikus eset, amikor a laboratóriumi kísérletek nem csupán elméleti kérdéseket feszegetnek, hanem kézzelfogható áttörésekkel tolják ki a biotechnológia határait...
Válságok, trónharcok és történelmi fordulópontok: ezen a napon császárok emelkedtek hatalomra, forradalmi találmányok születtek, és sorsfordító háborúk kaptak szikrát...
⚠ Továbbá megemlíthető, hogy a bitcoin-bányászat energiapazarlása elképesztő mértéket ölt: a hálózati késleltetés okozta felesleges energiafelhasználás nagyjából 16 000 megawattnyi teljesítményt jelent, ami megegyezik Svájc 701 vízerőművének teljes termelési kapacitásával...
Ha valaki több mint egy évtizede játszott a Rhythm Heavennel, valószínűleg sosem felejtette el azt a különös, szürreális világot, ahol dadogó pankrátorok és furcsa madarak ugrálnak egy lélekmelengető popdallamra...