Toiminnanohjausjärjestelmätoimija SAP:n turva-aukko sai odottaa paikkausta yli viiden vuoden ajan.
Turva-aukko koskee SAP Internet Transaction Server -ohjelmistoa. Aukon löytäjän Andrew Daviesin mukaan paikkaamattomassa järjestelmässä istuntojen hallintaan ottaminen ja tunnistautumisevästeiden kaappaaminen on mahdollista. Ns. ITS-ohjelmistoa käytetään mahdollistamaan henkilöstöhallinnon järjestelmien käyttäminen selainpohjaisesti.
Brittiläinen Portcullis Computer Security Ltd varoitti SAP:ia aukosta jo helmikuussa 2003 eli yli viisi vuotta sitten. Yhtiö julkisti myös haavoittuvuudelle vuonna 2003 annetun haavoittuvuusjulkistuksien yhtenäistystunnuksen CAN-2003-0749. Tunnus sisältää vielä Common Vulnerability Enumeration -hankkeen nyttemmin jo käytöstä poistaman CAN- eli kandidaattilyhenteen.
Secunia on antanut tapaukselle 2/5-tason vakavuusluokituksen ja kertoo korjauksen olevan ladattavissa SAP:n julkaisudokumentin numero 1052053 ohjeiden avulla.
Tietokantajätti Oracle julkaisi korjauksia tammikuussa 2006 niin ikään jo vuonna 2003 yhtiölle raportoituihin turva-aukkoihin.
Kommentit