Спустя четыре года SAP исправила уязвимость в SAP NetWeaver AS JAVA P4

Компания SAP выпустила плановые обновления безопасности, устраняющие в общей сложности 48 уязвимостей, включая позволяющую обойти аутентификацию проблему в сервисе P4, которая оставалась неисправленной в течение четырех лет.

Сервис SAP NetWeaver AS JAVA P4 позволяет получить удаленный доступ к платформе SAP JAVA (к примеру, ко всем системам SAP Portal). Уязвимость обхода аутентификации в P4 предоставляет злоумышленникам возможность раскрыть важные данные.

О существовании проблемы стало известно в 2012 году. Год спустя компания выпустила патч, устраняющий уязвимость, однако он оказался нерабочим. По словам главного технического директора ERPScan Александра Полякова, после релиза обновления специалисты компании обнаружили , что уязвимость по-прежнему затрагивала почти все новые версии сервиса. Согласно данным исследователей, в настоящее время по крайней мере 256 уязвимых систем являются доступными online.

Напомним , в июне нынешнего года SAP устранила уязвимость раскрытия информации в своем бизнес-приложении, также остававшуюся неисправленной в течение трех лет.