Специалисты компании SAP подготовили обновления безопасности, в рамках которых устранены 48 уязвимостей, в том числе ошибка, позволяющая обходить процедуру аутентификации в сервисе P4. Эта проблема оставалась неисправленной на протяжении 4 лет.
Благодаря сервису SAP NetWeaver AS JAVA P4 пользователь имеет возможность удаленного доступа к платформе SAP JAVA, включая все системы SAP Portal. Используя уязвимость обхода аутентификации в данном сервисе, злоумышленники могут раскрывать важную информацию.
Уязвимость была обнаружена в 2012 году. Специалисты SAP выпустили патч для нее через год, но исправление оказалось нерабочим. Как утверждает главный технический директор ERPScan Александр Поляков, эксперты компании после релиза патча выяснили, что уязвимость все еще затрагивает практически все новые версии сервиса. По словам специалистов, сейчас в режиме онлайн доступны как минимум 256 уязвимых систем.