Quand SAP fait supprimer un correctif critique dans le Patch Tuesday

La vulnérabilité critique "Beast" n'a finalement pas été corrigée dans le dernier Patch Tuesday. La rustine posait des problèmes aux solutions de SAP.

Dans le Patch Tuesday livré hier, Microsoft a finalement diffusé 13 mises à jour, soit une de moins que prévu. Il manque précisément le patch qui devait corriger la vulnérabilité utilisée par Beast : le code d'exploitation qui permet de casser le chiffrement de la majorité des sites "HTTPS", protégés par les protocoles SSL et TLS 1.0.

"Cette mise à jour a été reportée en raison d'un problème de compatibilité avec des applications d'un tiers. Ce dernier, avec notre aide, travaille actuellement sur le problème", a expliqué Jerry Bryant, responsable chargé de la sécurité chez Microsoft. Il s'agit en fait de SAP, qui bénéficie des mises à jour en avance. Microsoft s'est justifié en expliquant préférer retirer la mise à jour plutôt que de contrarier les clients de SAP.