Một lỗi bảo mật nghiêm trọng ảnh hưởng đến engine J2EE (Java 2 Platform Enterprise Edition) trong phần mềm lớp giữa (middleware) NetWeaver của SAP sẽ sớm được vá, hôm thứ Sáu 5/8/2011 SAP cho biết.
Lỗ hổng này có thể phá vỡ các hệ thống SAP qua Internet. "Ví dụ, có thể tạo ra một người dùng và đăng ký cho anh ta vào nhóm quản trị bằng cách sử dụng 2 yêu cầu xác thực trái phép vào hệ thống", ông Polyakov viết trong một bài đăng blog trước Hội nghị.
Tấn công cũng có thể xảy ra trên những hệ thống được bảo vệ bằng các hệ thống xác thực 2 nhân tố (khoá bí mật và mật khẩu), ông nói thêm. ERPscan đang sản xuất một công cụ miễn phí có thể phát hiện vấn đề.
“SAP đang làm việc chặt chẽ với ông Alexander Polyakov về vấn đề này", phát ngôn viên Andy Kendzie của SAP cho biết. "SAP sẽ cung cấp một bản vá cho khách hàng của mình trong thời gian ngắn nhất". Đây sẽ là bản cập nhật bảo mật thường xuyên, không phải là miếng vá khẩn cấp ngoài chu kỳ, ông nói thêm.