En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 20/03/2018
    IT & IT Security Meetings 2018

    IT Meetings devient IT & IT Security Meetings et ouvrira ses portes en mars pour…

    en détail En détail...
  • 21/03/2018
    Cloud Computing World Expo et Solutions Datacenter Management

    La 9ème édition de l’évènement phare du Cloud et des datacenters a lieu les 21…

    en détail En détail...
Appels d'offres en cours
  • Création d'une plateforme de vote en ligne dans l'événementiel
    < 25 000 €
    > En savoir plus
  • Création de site Internet pour une société de maintenance
    <1000 €
    > En savoir plus
  • Création d'un E-commerce WordPress pour un leader de l'hospitalisation privée
    A déterminer €
    > En savoir plus
NTT secu_Threat Intelligence report_leaderboard

Alerte sécurité : Le moteur J2EE de SAP compromis

ITrust_SOC_pave

Cette alerte sécurité est publiée par le Deny All Research Center, division de Deny All. Lors de la conférence BlackHat qui s’est tenue à Las Vegas les 3 et 4 Août 2011, le chercheur russe Alexander Polyakov a révélé une vulnérabilité dans le moteur J2EE du portail SAP Netweaver. Cette vulnérabilité permet à un attaquant ayant accès à l’interface web du portail de créer un compte utilisateur et de le déplacer dans le groupe des administrateurs. SAP n’a pas encore mis de patch à disposition. Dans l’immédiat, toutes les applications s’appuyant sur la plateforme SAP Netweaver sont donc potentiellement exposées à une attaque exploitant cette vulnérabilité.

Description de l’attaque

L’attaque s’appuie sur une erreur dans le mécanisme d’authentification, lorsque des méthodes HTTP explicites sont utilisées. Alors que les méthodes communes, GET et POST, sont habituellement gérées dans un fichier de configuration, c’est rarement le cas de la méthode HEAD. En conséquence, des requêtes qui contournent le mécanisme d’authentification peuvent être envoyées via cette méthode.

Recommandation

L’équipe du DARC team recommande aux clients utilisant rWeb et sProxy de protéger d’ores et déjà leurs environnements SAP Netweaver en créant une Black List spécifique. La version 4.0 de rWeb et sProxy facilite la création d’un filtre bloquant toutes méthodes autre que les méthodes GET ou POST, comme illustré ci-dessous :

L’équipe R&D de Deny All a pris la décision de créer un profil de sécurité pour les applications SAP Netweaver, qui implémentera ces restrictions par défaut, et sera inclus dans le prochain Feature Pack. de rWeb 4.0 et sProxy 4.0.

Auteur : Frédéric Mazué

Alerte sécurité : Le moteur J2EE de SAP compromis
Notez cet article

Laisser un commentaire

Threat Intelligence Report

À travers sa plateforme de cyberveille mondiale, NTT Security analyse 40 % du trafic Internet dans le monde. Découvrez le dernier rapport du centre mondial de cyberveille (Global Threat Intelligence Center) sur l’état des menaces au troisième trimestre 2017

Lire le rapport

Sondage

Noël : quel cadeau High tech pour vous même ou vos proches? (3 choix possibles)

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Aides d'État: la Commission assigne l'Irlande devant la Cour de justice pour non-récupération des 13 milliards € d'avantages fiscaux perçus illégalement par Apple

    La Commission européenne a décidé d'assigner l'Irlande devant la Cour de justice de l'UE pour…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • SD-WAN : Wan Cloud first et Wan edge à l'honneur en 2018 selon David Hughes, PDG de Silver Peak

    David Hughes, le fondateur et PDG de Silver Peak, livre sa vision pour 2018 du…

    > En savoir plus...
Etudes/Enquêtes
  • Tendances : le corps comme interface utilisateur

    Comment les early adopters envisagent-ils leur façon de consommer dans le futur ? Avec leurs…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

Global K_Data scientist_skycraper
Agenda
livres blancs
Les Livres
Blancs
  • Sauvegarde et Restauration Informatique pour les PME

    > Voir le livre
  • Comment la signature électronique a permis à Salesforce, LinkedIn, et McAfee d’ améliorer leurs performances.

    > Voir le livre
Global K_Data scientist_skycraper