Categories: ERP-SuitesSoftware

SAP-Patch-Day behebt drei Jahre altes Leck

Mit dem Juni-Patchday behebt SAP insgesamt 21 Verwundbarkeiten. Darunter finden sich 15 Security Patch Day Notes, sechs Support Packages Notes. Drei der Lecks haben die Bewertung “High Priority” und ein Fehler wird als Hot News gehandelt.

Die meisten Lecks sind in NetWeaver ABAP, auf das knapp 50 Prozent der Fehler entfallen. In Java treten in diesem Monat noch rund 29 Prozent der Sicherheitsrisiken auf.

Diese Plattformen haben im Juni ein sicherheitsrelevantes Update von SAP bekommen. (Bild: ERPScan)

Der schwerwiegendste Fehler liegt im SAP Documentation and Translation Tool. Die mit dem CVSS-Base-Score 9.1 bewertete Fehler 2306709 kann von Angreifern genutzt werden, um eigenen Code auszuführen. Angreifer können damit Daten ändern, das System kontrollieren oder auch die eigenen Privilegien ausweiten.

Das Leck 2222731 liegt im SAP DesignStudio SFIN. Die Cross-Site Scripting-Verwundbarkeit wird mit 8.8 bewertet und erlaubt das Einfügen von bösartigen Skripten in Seiten. 2308217: Das SAP Web-Survey lässt sich über XML angreifen. Der CVSS Base Score liegt bei 7.5. Über einen manipulierten XML-Request kann ein Angreifer ohne Autorisierung auf ein Datei-System des Betriebssystems zugreifen.

Cross-Site-Scripting und fehlende Authorisierungsprüfung sind in diesem Monat die häufigsten Fehler. Auch falsche Konfigurationen von SAP-Produkten können zu Fehlern führen. (Bild: ERPScan)

SAP rät allen Anwendern die betreffenden Patches aufzuspielen. Dass sich manche Anwender trotz eindringlicher Warnungen gehörig Zeit lassen, zeigt das Beispiel des Invocer Servlets, ein Fehler, über den Angreifer vollständige Kontrolle über ein System erhalten können. SAP hat bereits 2010 vor dem Problem gewarnt, doch scheinen nach wie vor Anwender nicht die notwendigen Schritte unternommen zu haben.

Nicht nur Anwender hinken manchmal etwas im Zeitplan hinterher. Der SAP-Sicherheitsspezialist ERPScan hatte SAP laut eigenen Angaben am 20. April 2013 über ein Information Disclosure Leck informiert, das im BI Reporting and Planning von SAP BW (Business Warehouse) liegt. Ein Angreifer kann darüber weitere Daten über das System in Erfahrung bringen, wie zum Beispiel Systemdaten oder Debuggin-Informationen. Mit diesen Informationen könnte ein Angreifer dann weitere Angriffe vorbereiten. SAP stuft dieses Leck mit einem Base-Score von 5.3 ein.

“Unabhängige Forscher entdecken zahlreiche Sicherheitsproblem in verschiedenen Produkten mehr oder weniger täglich. Ein verantwortungsbewusster Hersteller versucht, einen Fix zeitnah zu veröffentlichen”, so ERPScan in einem Blog. Normalerweise brauche ein Hersteller ein bis drei Monate, um einen Patch zu veröffentlichen. “Aber es gibt auch Verwundbarkeiten, die nicht so einfach zu schließen sind (vor allem dann, wenn sie in der Architektur liegen). SAP braucht in der Regel etwa drei Monate, um ein Sicherheitsleck zu beheben.” In diesem Beispiel habe sich SAP allerdings mehr als drei Jahre Zeit gelassen und damit auch potentiell auch Anwender gefährdet, kritisieren die Sicherheitsforscher.

Redaktion

Recent Posts

OT-Security braucht zunächst Asset-Transparenz

Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…

1 Tag ago

Künstliche Intelligenz erreicht die Cloud

KPMG-Studie: 97 Prozent der Cloud-nutzenden Unternehmen verwenden KI-Dienste von Cloud-Anbietern.

2 Tagen ago

AI Act: Durchblick im Regulierungsdickicht

Bitkom veröffentlicht Online-Tool und Leitfaden zum KI-Einsatz in Unternehmen. Beide Angebote sind kostenlos.

2 Tagen ago

Coveo beschleunigt europäisches Wachstum durch Expansion in der DACH-Region

Neue Kunden sind unter anderem SAP, Conforama Schweiz, 11teamsports, Phillip Morris International, Baywa und Thalia.

3 Tagen ago

Britische Behörden setzen auf Oracle Cloud

Oracle schafft einheitliche Plattform für vier Ministerien und über 250.000 Beamte mit der Oracle Applications…

3 Tagen ago

Windows 10: Wer haftet für Datenschutz nach Support-Ende?

Der Grund: Geräte, die mit veralteter Software arbeiten, sind anfällig für Cyberangriffe und Datenlecks.

3 Tagen ago