Facebook a réussi le vol d'essai de son drone Aquila qui doit fournir une connexion Internet très haut débit aux populations n'y ayant pas accès.

L'Image du jour

Facebook a réussi le vol d'essai de son drone Aquila qui doit fournir une connexion Internet très haut débit aux populations n'y ayant pas accès.

Silicon Valley 2016 : Cap sur l'innovation technologique (1e partie)

Dernier Dossier

Silicon Valley 2016 : Cap sur l'innovation technologique (1e partie)

En mars et juin dernier, nous avons passé un peu de temps à San Francisco et dans la Silicon Valley avec une dizaine de journalistes européens pour le...

Restez proche de l'actualité IT

NEWSLETTERS THEMATIQUES

Découvrez nos différentes newsletters adaptées à vos besoins d'actualités IT Pro : Mobilité, Réseaux, Stockages, ...

Abonnez-vous 
FERMER

LMI MARKET

Votre comparateur de prestataires IT : Comparez les devis, Evaluez les prestataires, Trouvez le juste prix!...

Accéder à ce service 

BLOG

Découvrez les contenus exclusifs publiés par les lecteurs du Monde Informatique avec la plateforme LMI Blog...

Accéder à ce service 

COMPARATEUR DE SALAIRE

Partagez votre situation salariale anonymement, consultez les statistiques depuis 2009 et faites vos propres analyses...

Accéder à ce service 

IT TOUR

LMI vous invite à sa Matinée-Débats dans votre région.
Inscrivez-vous

Accéder au site 
FERMER
3
Réagissez Imprimer Envoyer

21 failles dont 8 critiques menacent les applications SAP HANA

Depuis 2010, SAP encourage ses clients à adopter sa base en mémoire HANA sur laquelle Onapsis vient de trouver 21 bugs sérieux. (crédit : D.R.)

Depuis 2010, SAP encourage ses clients à adopter sa base en mémoire HANA sur laquelle Onapsis vient de trouver 21 bugs sérieux. (crédit : D.R.)

Sur les 21 vulnérabilités dans la base de données SAP HANA par la firme spécialisée Onapsis, toutes exploitables à distance, 8 sont critiques et peuvent conduire à exposer les données financières, clients et commerciales des entreprises. (mise à jour : SAP a mis à disposition des correctifs de sécurité sur son portail).

Onapsis, une société bostonienne spécialisée dans la protection des systèmes SAP, vient de signaler la présence d’une série de failles sérieuses pouvant affecter les applications basées sur la base de données en mémoire HANA de SAP, dont un certain nombre de solutions dans le cloud. Sur les 21 bulletins d’alerte émis, 8 décrivent des vulnérabilités présentant un risque critique, dont 6 nécessitent d’intervenir dans la configuration système pour être court-circuitées. Sans modification, des utilisateurs non authentifiés pourraient s’octroyer un contrôle complet sur les systèmes SAP vulnérables, ce qui pourrait entraîner le vol, la destruction ou l’altération de données, ou encore l’interruption de processus métiers. C’est la première fois que des bulletins liés à ce niveau de criticité sont communiqués pour SAP HANA, indique Onapsis sur son blog. (mise à jour : le 10 novembre, SAP a livré un Patch Day Security et publié un billet sur le sujet).

« Nous avons trouvé un certain nombre de choses cachées sous le tapis », a indiqué Mariano Nunez, CEO d’Onapsis. Ce qui est particulièrement délicat, c’est que les 21 failles trouvées par sa société sont exploitables à distance, via Internet. « Le type de vulnérabilité découvertes permettrait à n’importe quel attaquant de prendre le contrôle complet de n’importe quel système basé sur SAP HANA sans utiliser d’identifiant ni de mot de passe », pointe M. Nunez.

Des interventions sur plus de 250 bugs zero-day

La firme Onapsis travaille sur HANA depuis un certain temps et vend une plateforme et des services permettant d’obtenir des notifications avancées sur les failles qu’elle trouve afin que ses clients puissent se protéger contre les attaques. Elle collabore étroitement avec SAP et a contribué à réduire les risques sur plus de 250 bugs zero-day.

SAP a été averti dès février sur un certain nombre des problèmes et fourni des mises à jour pour y remédier. Développée pour concurrencer la base de données d’Oracle, HANA a été livrée fin 2010 pour accélérer les analyses de données réalisées avec les logiciels décisionnels de SAP, notamment via son datawarehouse BW. Depuis janvier 2013, la suite de gestion phare de l’éditeur allemand, la Business Suite (ERP, CRM, SCM…), peut s’exploiter sur HANA, sur site et dans le cloud. Depuis cette date, le fournisseur a largement incité ses clients à exploiter sa base travaillant en mémoire sur laquelle il développe sa quatrième génération d’applications d’entreprise, S4/HANA.

Parmi les clients de l’offre figurent notamment Airbus, Adidas, Dell ou EMC. Le mois dernier, le DG de la filiale française de SAP, Marc Genevois, indiquait que tous les clients français de SAP partaient maintenant d’emblée sur HANA, ce qui confirmait l’adhésion à la plateforme. La filiale a signé 84 clients entièrement nouveaux sur le troisième trimestre 2015.

COMMENTAIRES de l'ARTICLE3

le 16/12/2015 à 14h56 par Visiteur7546 :

@ Visiteur7477

ce n'est pas à cause du cloud, mais de la base de données SAP HANA qui est basée sur ASE (ex sybase racheté à prix d'or par SAP en 2010)

Donc longue vie à SAP R3 et au mode SAP R3 + Exadata oracle, après 2 transformations réussite sur X2 et X3, je passe en 2016 sur des X5 sous oracle 12c avec de l'in memory et bw 7.3, de l'ecc6, ISU et autres briques R/3.




Signaler un abus

le 08/12/2015 à 20h26 par Visiteur7477 :

Il faut croire que SAP + Cloud est un mélange détonnant !

Signaler un abus

le 15/11/2015 à 14h10 par newsoftpclab (Membre) :

C'est dommage pour la securite de trouver des failles de securite sur sap hana qui sont exploitables à distance.

Signaler un abus

Commenter cet article

commenter cet article en tant que membre LMI

CONNEXION

Commenter cet article en tant que visiteur






* Les liens HTML sont interdits dans les commentaires

Publicité
35 ans
15 Octobre 1993 n°561
Publicité
Publicité