[57779] in SAPr3-news
Re: sapevt
daemon@ATHENA.MIT.EDU (Xaver Deutsch)
Fri Jul 28 12:09:05 2006
To: sapr3-news@mit.edu
Date: Fri, 28 Jul 2006 18:02:19 +0200
From: Xaver Deutsch <aufderheid@arcor.de>
Message-ID: <44ca366d$0$24889$9b4e6d93@newsread4.arcor-online.net>
Raphaela Corall schrieb:
> on 21.07.2006 Christian Zalto wrote:
>
>> Maybe I'm missing something but for me SAPEVT always seems
>> to be quite an insecure solution: Anyone on the network can fire
>> events using the SAPEVT tool and launch predefined jobs and
>> other activities in the SAP system without any authentication!
>> You'll be in big trouble trying to find out where this event came from.
>
> Wie kommst Du darauf, daß jeder Hinz und Kunz im Netz den sapevt
> anschubsen kann? Soweit ich das sehe, steht der im
> executable-Verzeichnis auf dem Applikationsserver, d.h. wer den nutzen
> will, benötigt einen Zugang dahin. Im Normalfall sind das der SAP-Admin
> und der OS-Admin und sonst niemand. Oder übersehe ich hier etwas?
>
> Gruß
> Raphaela
>
Hallo Christian, hallo Raphaela,
das sapevt ist ein Executable, das es für jedes OS, das SAP unterstützt,
gibt. Und die meisten die eine OSS Berechtigung haben, können das
downloaden. Und wenn man das passende Environment setzt kann, kann das
jeder nutzen.
Um das SAP System vor solchen Angriffen zu schützen, müßte man das SAP
System hinter eine Firewall setzten oder nur secure Verbindungen über
SSL,etc zu lassen.
Schönen Gruss
Michael
