SAP udsender 25 patches: Lukker mulighed for at hacker tager kontrol over systemet

Ny patch til SAP Hana har scoret 9,8 ud af 10 på sårbarhedsskala.

SAP har udsendt 25 patches - og to patches til patches - som lukker alvorlige sikkerhedshuller i Hana-platformen, skriver The Register.

I den mest seriøse ende af skalaen har SAP udsendt en patch til Hanas såkaldte User Self Service-funktion, som rangerer 9,8 ud af 10 på sårbarheds-vurderingssystemet CVSS. Patchen fikser et hul, der gør det muligt for en hacker at tage kontrol over self service-systemet, skriver SAP uden brug af credentials.

Læs også: SAP-løsning skal erstatte 40 systemer i Københavns Kommune

Den form for adgang gør det muligt for en angriber at udføre enhver handling omkring forretningsinformation og processer, som understøttes af Hana, skriver sikkerhedsvirksomheden Onapsis.

Det inkluderer at stjæle, ændre eller slette følsomme HR- og kundedata.

Læs også: SAP Hana skal give realtidsoverblik over 1,3 millioner danskeres pensioner

For at udnytte hullet skal funktionen være slået til. Den er slået fra som standard.

Længere nede ad listen har SAP rettet en fejl i Hana, der tillader en hacker at eskalere rettigheder og fremstå som en anden bruger i systemet. Det kræver dog, at systemet kører på et untrusted network.

På selskabets blog har SAP publiceret et diagram over typen af sårbarheder, som nu er fikset. Den primære synder er cross-site scripting, fremgår det.

Illustration: SAP
Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere