SAP veröffentlicht 30 Security Notes. Betroffen sind unter anderem der Internet Communication Manager. Die Notes setzen sich aus vier Support Packages und 26 SAP Security Patch Notes zusammen. 17 davon hat SAP bereits vor dem offiziellen Patchtag, dem zweiten Dienstag im August veröffentlicht. Darüber hinaus aktualisiert SAP im August in 14 Fällen ältere Updates.
Auch wenn die Zahl der Patches vergleichsweise hoch ist, fällt die höchste Gefährdungsstufe mit einem CVSS-Score von 7.5 eher moderat aus. 14 Patches stuft SAP dennoch mit einer hohen Priorität ein und ein Patch gilt als Hot News. Wie auch in den vorhergehenden Patch-Tagen ist Cross-Site-Scripting der häufigste Fehler.
Der schwerwiegendste Fehler liegt im SAP Internet Communication Manager (CVSS Base Score: 7.5). Ein Angreifer kann remote und ohne Authentifizierung mit einer Denial of Service Attacke Prozesse im Internet Communication Manager beenden. Anwender können dann den Service nicht mehr nutzen. Über diesen Server können SAP-Anwender und deren Partner auf Web-Anwendungen wie CRM oder Portal zugreifen.
Das Leck ermöglicht es einem Angreifer, diesen Zugriff zu verhindern. Bereits kurze Ausfallzeiten können in manchen Installationen großen finanziellen Schaden hervorrufen. Derzeit sollen rund 560 Server bei Anwenderunternehmen betroffen sein, wie der SAP-Sicherheitsexperte ERPScan in einem Blog mitteilt.
Einen Denial of Service Fehler behebt ein Update in der SAP Memory Snapshot Creation (CVSS 7.5) hier kann der Angreifer den Service stilllegen.
Die SAP Database Monitors for Oracle lässt sich zudem mit einer SQL Injection Vulnerability (CVSS 7.2) angreifen. Mit speziellen SQL-Abfragen kann ein Angreifer sensible Informationen abgreifen oder auch Administrationsaufgaben in Datenbanken durchführen und auf diese Weise Daten unbrauchbar machen.
Der JMS Provider Service kann dank einer fehlenden Autorisierung (CVSS 6.4) auf Services zugreifen und hier Dienste nutzen, die eigentlich einer Zugriffsbeschränkung unterliegen sollten.
Mit CVSS 6.4 wird ein Leck im SAP BPM bewertet. In diesem Fall kann ein Angreifer ebenfalls Prozesse in diesem Modul abschießen.
Ein Directory Traversal Leck erreicht die Gefährdungsstufe 4.3. So kann ein Angreifer damit auf beliebige Dateien und Verzeichnisse auf einem SAP-Server-Dateisystem zugreifen und hier sogar den Source-Code von Anwendungen oder Konfigurationsdateien ändern. In Folge können Angreifer auch sensible Informationen abgreifen. Ein Fehler der gleichen Art liegt auch im SAP Telnet Command.
Erst vor wenigen Tagen hatte ERPScan einen Jahresbericht zur SAP-Sicherheit vorgelegt und darin erklärt, dass weltweit 36.000 SAP-Systeme weltweit über das Internet erreichbar seien. Davon sollten die meisten, nämlich rund 70 Prozent, nicht über das Web verfügbar sein. Häufig sei dabei eine fehlerhafte Konfiguration der Grund dafür.
Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…
Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…
DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).
Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.
IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.
IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…
