SAP a averti vendredi qu'il allait corriger rapidement un bug sérieux de sécurité affectant le moteur J2EE (Java 2 Platform Enterprise Edition) inclus dans son offre NetWeaver, architecture de middleware sur laquelle s'appuient les solutions de gestion de l'éditeur.

Le bug a été expliqué jeudi dernier par l'expert en sécurité Alexander Polyakov, directeur technique d'ERPScan, durant l'une des sessions de la conférence Black Hat, à Las Vegas. Dans un billet de blog publié la semaine précédente, celui-ci indiquait que la faille permettait de s'introduire dans les systèmes SAP via Internet en contournant les contrôles d'autorisation d'accès. « Par exemple, il est possible de créer un utilisateur et de l'affecter à un groupe d'administrateurs en se servant de deux requêtes non autorisées au système ». Il ajoute que l'attaque peut aussi se faire sur des systèmes qui sont protégés par une authentification double (clé secrète et mot de passe). ERPscan prépare un outil qui peut détecter le problème sans coût.

« SAP travaille étroitement avec Alexander Polyakov sur cette question, a assuré Andy Kendzie, porte-parole de SAP vendredi, en annonçant la prochaine venue d'un correctif. Ce dernier sera fourni dans le cadre d'une mise à jour de sécurité régulière et ne fera pas l'objet d'un correctif d'urgence particulier.

Cette information arrive peu de temps après la livraison par Oracle de Java SE 7 qui comportait des bugs que les ingénieurs d'Oracle connaissaient, ce qui a suscité une certaine consternation. L'éditeur de Java corrigera le bug dans une mise à jour.

(source illustration : www.freevectordownload.org)