Der Sicherheitsanbieter Positive Technologies hat in mehreren Komponenten von SAPs NetWeaver-Plattform schwerwiegende Sicherheitslücken gefunden. Die Fehler erlauben es einem Angreifer unter Umständen, das IT-System eines Unternehmens zu kompromittieren. Im zehnstufigen Common Vulnerability Scoring System sind die Anfälligkeiten mit 5,4 beziehungsweise 6,1 Punkten bewertet. SAP hat bereits ein Update zur Verfügung gestellt. Betroffen sind die NetWeaver-Komponenten SAP Enterprise Portal Theme Editor, NetWeaver Log Viewer und SAP Enterpriese Portal Navigation.
Eine Cross-Site-Scripting-Lücke in Enterprise Portal Navigation gibt Unbefugten Zugriff aus Sitzungs-Tokens, Anmeldedaten und andere persönliche Browser-Informationen eines Nutzers. Den Sicherheitsforschern zufolge könnte ein Angreifer zudem im Namen seines Opfers HTML-Inhalte manipulieren und Tastatureingaben abfangen.
Der Fehler in NetWeaver Log Viewer ermöglicht das Hochladen beliebiger Dateien auf einen Server. Da die Dateien auch ausführbaren Code enthalten können, ist die vollständige Kompromittierung einer Datenbank oder des Servers denkbar. Von dort könnte der Angriff sogar auf Backend-Systeme wie SAP HANA ausgeweitet werden.
“Großunternehmen weltweit nutzen SAP, um Finanzströme, Produkte, Beziehungen zu Kunden und Lieferanten, Unternehmensressourcen, Beschaffung und andere kritische Geschäftsprozesse zu verwalten. Es ist überlebenswichtig, die in SAP-Systemen gespeicherten Informationen zu schützen, da jeder Verlust vertraulicher Informationen verheerende Auswirkungen für das Unternehmen hätte”, erklärte Dmitry Gutsko, Leiter des Bereichs Business System Security bei Positive Technologies. Betroffenen Nutzern von NetWeaver 7.31 rät er, das aktuelle Update einzuspielen und nur Tools zu benutzen, die für die Integration mit SAP NetWeaver zertifiziert sind.
Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.
Im März hatte SAP eine Zero-Day-Lücke kurzfristig geschlossen, die Nutzer der HANA-Datenbank bedrohte. Hacker konnten mithilfe der Schwachstelle ohne Eingabe von Nutzername und Passwort ein betroffenes Datenbanksystem übernehmen. Der Patch von SAP beseitigte unter anderem zwei SQL-Injection-Anfälligkeiten sowie einen Bug, der die Rechteverwaltung umging.
Tipp: Wie gut kennen Sie SAP? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Spezialist für Produktions- und Verpackungsmaschinen setzt auf All for One
Das Fehlen einheitlicher globaler KI-Standards zwingt Organisationen dazu, regionsspezifische Strategien zu entwickeln, was die Skalierbarkeit…
Nachwuchs ist in vielen Betrieben Mangelware. Wie eine aktuelle Umfrage des Münchner Ifo-Instituts in Zusammenarbeit…
Laut Software AG geben drei von vier Betrieben an, dass der weiter zunehmende Technologieeinsatz zu…
Zwischenbilanz nach 14 Monaten EnEfG: Die meisten Rechenzentren haben noch erheblichen Handlungsbedarf, sagt Gastautor Martin…
Zum Jahresbeginn gab es in Deutschland auf dem Podium der berüchtigtsten Malware-Typen viele Veränderungen. Altbekannte…
