SAP-Patch-Day behebt drei Jahre altes Leck

Mit dem Juni-Patchday behebt SAP insgesamt 21 Verwundbarkeiten. Darunter finden sich 15 Security Patch Day Notes, sechs Support Packages Notes. Drei der Lecks haben die Bewertung “High Priority” und ein Fehler wird als Hot News gehandelt.

Die meisten Lecks sind in NetWeaver ABAP, auf das knapp 50 Prozent der Fehler entfallen. In Java treten in diesem Monat noch rund 29 Prozent der Sicherheitsrisiken auf.

Der schwerwiegendste Fehler liegt im SAP Documentation and Translation Tool. Die mit dem CVSS-Base-Score 9.1 bewertete Fehler 2306709 kann von Angreifern genutzt werden, um eigenen Code auszuführen. Angreifer können damit Daten ändern, das System kontrollieren oder auch die eigenen Privilegien ausweiten.

Das Leck 2222731 liegt im SAP DesignStudio SFIN. Die Cross-Site Scripting-Verwundbarkeit wird mit 8.8 bewertet und erlaubt das Einfügen von bösartigen Skripten in Seiten. 2308217: Das SAP Web-Survey lässt sich über XML angreifen. Der CVSS Base Score liegt bei 7.5. Über einen manipulierten XML-Request kann ein Angreifer ohne Autorisierung auf ein Datei-System des Betriebssystems zugreifen.

SAP rät allen Anwendern die betreffenden Patches aufzuspielen. Dass sich manche Anwender trotz eindringlicher Warnungen gehörig Zeit lassen, zeigt das Beispiel des Invocer Servlets, ein Fehler, über den Angreifer vollständige Kontrolle über ein System erhalten können. SAP hat bereits 2010 vor dem Problem gewarnt, doch scheinen nach wie vor Anwender nicht die notwendigen Schritte unternommen zu haben.

Nicht nur Anwender hinken manchmal etwas im Zeitplan hinterher. Der SAP-Sicherheitsspezialist ERPScan hatte SAP laut eigenen Angaben am 20. April 2013 über ein Information Disclosure Leck informiert, das im BI Reporting and Planning von SAP BW (Business Warehouse) liegt. Ein Angreifer kann darüber weitere Daten über das System in Erfahrung bringen, wie zum Beispiel Systemdaten oder Debuggin-Informationen. Mit diesen Informationen könnte ein Angreifer dann weitere Angriffe vorbereiten. SAP stuft dieses Leck mit einem Base-Score von 5.3 ein.

“Unabhängige Forscher entdecken zahlreiche Sicherheitsproblem in verschiedenen Produkten mehr oder weniger täglich. Ein verantwortungsbewusster Hersteller versucht, einen Fix zeitnah zu veröffentlichen”, so ERPScan in einem Blog. Normalerweise brauche ein Hersteller ein bis drei Monate, um einen Patch zu veröffentlichen. “Aber es gibt auch Verwundbarkeiten, die nicht so einfach zu schließen sind (vor allem dann, wenn sie in der Architektur liegen). SAP braucht in der Regel etwa drei Monate, um ein Sicherheitsleck zu beheben.” In diesem Beispiel habe sich SAP allerdings mehr als drei Jahre Zeit gelassen und damit auch potentiell auch Anwender gefährdet, kritisieren die Sicherheitsforscher.