Az SAP NetWeaver kritikus hibáit most muszáj javítani
Az SAP szeptemberben összesen 21 új sérülékenységet javított termékeiben, köztük három kiemelten veszélyes hibát a NetWeaver szoftverben. A NetWeaver számos nagyvállalati alkalmazás, például az ERP, a CRM vagy az SCM alapját adja, így sebezhetősége kiemelt kockázatot jelent óriási hálózatokban is.
Parancsvégrehajtás és jogosulatlan hozzáférés
A legkritikusabb hibát 10/10 súlyosságúnak értékelték: egy olyan sebezhetőség, amely lehetővé teszi, hogy egy támadó hitelesítés nélkül tetszőleges parancsokat futtasson a szerveren. Ehhez elegendő egy kártékony Java-objektumot küldeni az RMI-P4 modulon keresztül, egy nyitott porton át. Ezt az RMI-P4 protokollt főként belső SAP-kommunikációra használják, de tűzfalhibák miatt akár az internetről is elérhető lehet.
Fájlfeltöltéses támadások és adatlopás
A második hiba (CVSS 9,9) révén hitelesített, de nem adminisztrátori felhasználók képesek tetszőleges fájlokat feltölteni a szerverre a Web Service Deploy funkción keresztül – ez akár a teljes rendszer átvételéhez is vezethet. A harmadik rés a jogosultság-ellenőrzés hiányából fakad (CVSS 9,1): itt illetéktelen, magas jogosultságú felhasználók érzékeny adatokat nézhetnek meg, módosíthatnak vagy törölhetnek.
A Business One (SAP Business One) és az SLT Replication Server is kapott javítást adatlopás, illetve manipuláció ellen, az S/4HANA pedig a hiányos bemeneti ellenőrzés miatt volt érintett. A világ legnagyobb vállalatainak tízezrei használják az SAP rendszereket, így ezek a hibák jelentős támadási felületet biztosítanak a bűnözőknek.
Intézkedést igényel
A hónap elején egy kódinjektálási hibát is felfedeztek az S/4HANA-ban, a Business One-ban és a NetWeaverben, ami újabb súlyos kockázatot jelent. A rendszergazdáknak azonnal telepíteniük kell a javításokat a biztonság érdekében, hiszen a frissítések elérhetők az SAP ügyfelek számára.
2025, adrienne, www.bleepingcomputer.com alapján
filózó
Te mit gondolsz, mennyire lehet a szoftverhibákat teljesen kizárni nagy rendszerekben?
Te mit tennél, ha észrevennél egy ilyen súlyos biztonsági rést a munkahelyeden?
Szerinted mindenki felelőssége jelezni, ha ilyet talál, vagy csak a rendszergazdáé?
Egy átlagos téli napon meglehetősen szokatlan, amikor két vadidegen fiatalember jelentkezik egy irodaház karbantartóinál azzal, hogy szívesen segítenének havat lapátolni – főleg úgy, hogy az őrszoba ajtaja nyitva van, a személyzet épp el van foglalva, és senki sem figyeli igazán, kinek van keresnivalója az épületben...
🍔 Egy lényeges szempont, hogy az éttermek számára elérhetővé vált egy radikálisan új lehetőség: mostantól közvetlenül ChatGPT-n és Claude-on keresztül lehet ételt rendelni, köszönhetően a Square friss, egyszerű és alacsony díjas integrációjának...
☁ A Nap időszakonként egyre hevesebb viharokat küld felénk, amelyek páratlan fényjelenségeket okoznak az égbolton, ám a látványos északi fény mögött csendben megbújik egy sokkal fenyegetőbb veszély is...
Az Ethereum körüli világ sosem volt még ilyen pezsgő. A legújabb, nagy horderejű esemény az Ethereum Institutional elindulása, amely a blokklánc-ökoszisztémát új szintre kívánja emelni a pénzügyi szereplők bevonása és az eszközök tokenizálása terén...
🌕 A világegyetem néha egészen hihetetlen történeteket produkál. 2020-ban csillagászok felfedeztek egy WD 1856b nevű gázóriás bolygót, amely egy fehér törpe – egy Naphoz hasonló csillag kihűlt magja – körül kering...
Fizetős iOS appok és játékok, amik ingyenesek a mai napon. Risp: Budget & Savings (iPhone/iPad)A Risp egy alkalmazás, amely segít a pénzügyeid kezelésében...
🚀 A NASA vezetője, Jared Isaacman optimistán nyilatkozott a Blue Origin közelmúltbeli fejleményeiről, miután a május végi rakétabaleset alapos rendrakást követelt a cégtől Cape Canaveralben...
Az Anthropic hónapokkal ezelőtt rejtett kódrészleteket helyezett el a Claude Code rendszerében, hogy felismerje, ha más MI-fejlesztő cégek, főleg Kínából, le akarnák másolni a modelljeit...
💡 Az elmúlt napokban rengeteg Google Home-tulajdonos tapasztalta, hogy okos hangszórója vagy kijelzős eszköze jóval lassabban reagál a megszokottnál, sőt, előfordult, hogy egyáltalán nem válaszolt...
Bár a Samsung hivatalosan még nem mutatta be a Galaxy Z Fold 8-at, néhány megbízható szivárogtatásnak hála már most látni lehet a hajlítható telefon új külsejét...
Külön említést érdemel, hogy az Apple E-mail-cím elrejtése (Hide My Email) szolgáltatásában súlyos sebezhetőségre derült fény, amely lehetővé teszi, hogy gyakorlatilag bárki megszerezze a felhasználók valódi e-mail-címét – még akkor is, ha az az Apple rendszerében elvileg rejtve van...
🚀 Tipikus eset, amikor a laboratóriumi kísérletek nem csupán elméleti kérdéseket feszegetnek, hanem kézzelfogható áttörésekkel tolják ki a biotechnológia határait...
Válságok, trónharcok és történelmi fordulópontok: ezen a napon császárok emelkedtek hatalomra, forradalmi találmányok születtek, és sorsfordító háborúk kaptak szikrát...
⚠ Továbbá megemlíthető, hogy a bitcoin-bányászat energiapazarlása elképesztő mértéket ölt: a hálózati késleltetés okozta felesleges energiafelhasználás nagyjából 16 000 megawattnyi teljesítményt jelent, ami megegyezik Svájc 701 vízerőművének teljes termelési kapacitásával...
Ha valaki több mint egy évtizede játszott a Rhythm Heavennel, valószínűleg sosem felejtette el azt a különös, szürreális világot, ahol dadogó pankrátorok és furcsa madarak ugrálnak egy lélekmelengető popdallamra...
A brit távközlési piac gigantikus átalakulása zajlik: az ország versenyhatósága kiemelt vizsgálatot indított annak kapcsán, hogy a Netomnia anyavállalatát, a Substantialt a Liberty Global, a Telefonica és az InfraVia konzorciuma felvásárolja...