En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 26/09/2017
    Salons Solutions 2017

    Les Salons Solutions - ERP, CRM, BI et Big Data, E-achats, Demat', Serveurs & Applications…

    en détail En détail...
  • 17/10/2017
    Mobility for Business

    7ème édition de Mobility for Business, le salon des solutions mobiles "pour une meilleure transformation…

    en détail En détail...
Appels d'offres en cours
  • Projet de CRM pour une société de conseil en gestion de patrimoine
    <4800 €
    > En savoir plus
  • Création d'un site e-commerce pour une société de déstockage
    < 6 800 €
    > En savoir plus
  • Mise en place d'un site informatif pour une école supérieure
    < 10 000 €
    > En savoir plus
Microsoft_MS experience S1 AI_leaderboard

Alerte sécurité : Le moteur J2EE de SAP compromis

kaspersky_attaques ciblees_pave

Cette alerte sécurité est publiée par le Deny All Research Center, division de Deny All. Lors de la conférence BlackHat qui s’est tenue à Las Vegas les 3 et 4 Août 2011, le chercheur russe Alexander Polyakov a révélé une vulnérabilité dans le moteur J2EE du portail SAP Netweaver. Cette vulnérabilité permet à un attaquant ayant accès à l’interface web du portail de créer un compte utilisateur et de le déplacer dans le groupe des administrateurs. SAP n’a pas encore mis de patch à disposition. Dans l’immédiat, toutes les applications s’appuyant sur la plateforme SAP Netweaver sont donc potentiellement exposées à une attaque exploitant cette vulnérabilité.

Description de l’attaque

L’attaque s’appuie sur une erreur dans le mécanisme d’authentification, lorsque des méthodes HTTP explicites sont utilisées. Alors que les méthodes communes, GET et POST, sont habituellement gérées dans un fichier de configuration, c’est rarement le cas de la méthode HEAD. En conséquence, des requêtes qui contournent le mécanisme d’authentification peuvent être envoyées via cette méthode.

Recommandation

L’équipe du DARC team recommande aux clients utilisant rWeb et sProxy de protéger d’ores et déjà leurs environnements SAP Netweaver en créant une Black List spécifique. La version 4.0 de rWeb et sProxy facilite la création d’un filtre bloquant toutes méthodes autre que les méthodes GET ou POST, comme illustré ci-dessous :

L’équipe R&D de Deny All a pris la décision de créer un profil de sécurité pour les applications SAP Netweaver, qui implémentera ces restrictions par défaut, et sera inclus dans le prochain Feature Pack. de rWeb 4.0 et sProxy 4.0.

Auteur : Frédéric Mazué

Alerte sécurité : Le moteur J2EE de SAP compromis
Notez cet article

Laisser un commentaire

2 jours consacrés à l’intelligence numérique

Les 3 et 4 octobre, Microsoft experiences’ 17 accueillera plus de 14 000 visiteurs au Palais des Congrès de Paris, dont les managers des plus grandes sociétés européennes, start-ups, incubateurs...

Agenda & inscription

Sondage

Windows 10 et vous

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Achat de pubs ou mots-clés : le fisc français réclame 600 millions d'euros à Microsoft

    Le fisc français a notifié un redressement fiscal de 600 millions d'euros à la filiale…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Expert - Mise en conformité à la GDPR : la visibilité, un prérequis

    Le nouveau règlement européen sur la protection des données impacte à la fois l'infrastructure informatique,…

    > En savoir plus...
Etudes/Enquêtes
  • Projets d'intelligence artificielle : 80 % des dirigeants investissent

    80 % des dirigeants dans le monde investissent aujourd'hui dans l’intelligence artificielle au sein de…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement
kaspersky_attaques ciblees_skycraper
Agenda
livres blancs
Les Livres
Blancs
TSystems_Cybercrime_skycrapper