Categories: ERP-SuitesSoftware

SAP-Patch-Day behebt drei Jahre altes Leck

Mit dem Juni-Patchday behebt SAP insgesamt 21 Verwundbarkeiten. Darunter finden sich 15 Security Patch Day Notes, sechs Support Packages Notes. Drei der Lecks haben die Bewertung “High Priority” und ein Fehler wird als Hot News gehandelt.

Die meisten Lecks sind in NetWeaver ABAP, auf das knapp 50 Prozent der Fehler entfallen. In Java treten in diesem Monat noch rund 29 Prozent der Sicherheitsrisiken auf.

Diese Plattformen haben im Juni ein sicherheitsrelevantes Update von SAP bekommen. (Bild: ERPScan)

Der schwerwiegendste Fehler liegt im SAP Documentation and Translation Tool. Die mit dem CVSS-Base-Score 9.1 bewertete Fehler 2306709 kann von Angreifern genutzt werden, um eigenen Code auszuführen. Angreifer können damit Daten ändern, das System kontrollieren oder auch die eigenen Privilegien ausweiten.

Das Leck 2222731 liegt im SAP DesignStudio SFIN. Die Cross-Site Scripting-Verwundbarkeit wird mit 8.8 bewertet und erlaubt das Einfügen von bösartigen Skripten in Seiten. 2308217: Das SAP Web-Survey lässt sich über XML angreifen. Der CVSS Base Score liegt bei 7.5. Über einen manipulierten XML-Request kann ein Angreifer ohne Autorisierung auf ein Datei-System des Betriebssystems zugreifen.

Cross-Site-Scripting und fehlende Authorisierungsprüfung sind in diesem Monat die häufigsten Fehler. Auch falsche Konfigurationen von SAP-Produkten können zu Fehlern führen. (Bild: ERPScan)

SAP rät allen Anwendern die betreffenden Patches aufzuspielen. Dass sich manche Anwender trotz eindringlicher Warnungen gehörig Zeit lassen, zeigt das Beispiel des Invocer Servlets, ein Fehler, über den Angreifer vollständige Kontrolle über ein System erhalten können. SAP hat bereits 2010 vor dem Problem gewarnt, doch scheinen nach wie vor Anwender nicht die notwendigen Schritte unternommen zu haben.

Nicht nur Anwender hinken manchmal etwas im Zeitplan hinterher. Der SAP-Sicherheitsspezialist ERPScan hatte SAP laut eigenen Angaben am 20. April 2013 über ein Information Disclosure Leck informiert, das im BI Reporting and Planning von SAP BW (Business Warehouse) liegt. Ein Angreifer kann darüber weitere Daten über das System in Erfahrung bringen, wie zum Beispiel Systemdaten oder Debuggin-Informationen. Mit diesen Informationen könnte ein Angreifer dann weitere Angriffe vorbereiten. SAP stuft dieses Leck mit einem Base-Score von 5.3 ein.

“Unabhängige Forscher entdecken zahlreiche Sicherheitsproblem in verschiedenen Produkten mehr oder weniger täglich. Ein verantwortungsbewusster Hersteller versucht, einen Fix zeitnah zu veröffentlichen”, so ERPScan in einem Blog. Normalerweise brauche ein Hersteller ein bis drei Monate, um einen Patch zu veröffentlichen. “Aber es gibt auch Verwundbarkeiten, die nicht so einfach zu schließen sind (vor allem dann, wenn sie in der Architektur liegen). SAP braucht in der Regel etwa drei Monate, um ein Sicherheitsleck zu beheben.” In diesem Beispiel habe sich SAP allerdings mehr als drei Jahre Zeit gelassen und damit auch potentiell auch Anwender gefährdet, kritisieren die Sicherheitsforscher.

Redaktion

Recent Posts

Mehr Datenschutz in der Montage

Assistenzsysteme unterstützen Monteure bei der Arbeit. Zu oft zahlt man jedoch mit den eigenen Daten…

2 Tagen ago

Cyber Resilience Act: Countdown läuft

Hersteller werden stärker in die Pflicht genommen, den gesamten Lebenszyklus ihrer Produkte in den Blick…

2 Tagen ago

KI auf dem Prüfstand

LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…

3 Tagen ago

Rechenzentren: Deutschland verliert Anschluss

Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…

3 Tagen ago

KI steigert Nachfrage nach hybriden Workplace-Umgebungen

Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…

3 Tagen ago

Hagebau erreicht E-Mail-Sicherheit mit der NoSpamProxy Cloud

Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…

4 Tagen ago