Ir para o conteúdo
Fale conosco
Chat online Chat off-line
Converse conosco para comprar soluções SAP.
Fale conosco
Envie-nos e-mails com comentários, questões ou feedback.
SAP Trust Center
Confiança no software SAP Trust Center

Configuração segura do SAP Gateway e do SAP Message Server

A SAP está ciente dos recentes comunicados sobre vulnerabilidades no SAP Gateway e SAP Message Server. Contudo, essas tecnologias receberam patches da SAP há alguns anos. As notas de segurança 821875, 1408081 e 1421005, publicadas em 2009 e 2013, protegerão os clientes de tais explorações. Como sempre, enfatizamos que nossos clientes devem aplicar essas notas de segurança imediatamente e garantir a configuração segura de sua estrutura SAP.
 
A SAP leva a segurança dos dados dos clientes a sério. As recomendações publicadas nos whitepapers Practical Guide for Securing SAP Solutions (Guia prático para proteger as soluções SAP) e Securing Remote Function Calls (RFC) (Protegendo as RFCs – chamadas de função remotas) enfatizam a configuração segura de sua estrutura SAP. Os clientes podem habilitar as verificações de segurança relacionadas disponíveis no EarlyWatch Alert (nota 863362) e no portfólio de serviços de otimização de segurança da SAP.
 
SAP é sinônimo de soluções de software seguras e confiáveis. Como líder global em software de negócios, embasamos nossos processos de desenvolvimento em uma estratégia de segurança abrangente (“Prevenir – Detectar – Reagir”), usada em toda a corporação, que conta com treinamentos, ferramentas e processos para viabilizar a entrega de produtos e serviços seguros. 

Vulnerabilidades baseadas em processador

No início de 2018, com o Spectre (e Meltdown), foi publicada uma nova classe de vulnerabilidades. Nos meses seguintes, novas variantes foram descobertas e publicadas com o mesmo pseudônimo. Há uma constante realização de pesquisas e publicações de novas vulnerabilidades e ataques, indicando que o tema continuará sendo relevante no futuro. O denominador comum dessas vulnerabilidades é que elas são causadas principalmente pelo design arquitetônico (hardware) da CPU que afeta quase todos os chips de computador fabricados nos últimos 20 anos.
 
Hackers podem explorar tais vulnerabilidades para obter acesso a dados antes considerados protegidos. Possíveis violações são chamadas de ataques de canal lateral, nos quais a velocidade de execução de determinadas operações (timing) pode permitir a remoção de conteúdo da memória que normalmente não poderia ser acessado. Do ponto de vista de segurança, as preocupações incluem a quebra de limites dentro de ambientes virtualizados.
A SAP investigou minuciosamente o impacto dessas vulnerabilidades e está bem alinhada com os fornecedores, os provedores e a comunidade de código aberto. Além disso, a SAP trabalha na investigação de onde e como nossas plataformas, bancos de dados, aplicativos e operações na nuvem podem ser afetados.  
 
A SAP adotou uma abordagem proativa e está corrigindo possíveis falhas provenientes de ataques de canal lateral, sem atrasos indevidos. Clique aqui para encontrar mais informações sobre o andamento dos patches para os ambientes em nuvem (registro obrigatório). Como consumidores de software e hardware afetados, dependemos amplamente da disponibilidade de patches fornecidos pelos respectivos fornecedores, provedores ou pela comunidade de código aberto. O cronograma de aplicação dos patches adequados é determinado, em grande parte, pela disponibilidade destes.
A SAP recomenda que todos os clientes monitorem cuidadosamente e sigam as orientações sobre a implementação de patches de segurança recebidas dos fornecedores de hardware e sistema operacional assim que estiverem disponíveis. A SAP aplicará as correções em sua infraestrutura de nuvem sem atrasos indevidos. O SAP Global Security tem monitorado constantemente a situação.
Cada variante tem seu próprio número de CVE (atualização feita em 6 de novembro de 2018):

 

Cada uma dessas variantes de vulnerabilidade pode ser usada para a leitura de dados confidenciais, como a memória do kernel ou da CPU. O nível de criticidade e potencial para exploração difere entre cada uma das variantes. 
 
Mais informações dos fornecedores sobre vulnerabilidades de segurança, respostas e recursos mencionados anteriormente:
Observe que a SAP não é responsável por qualquer conteúdo publicado nesses sites externos.
Voltar ao início