Categories: CRMMarketing

SAP CRM leidet an SQL-Injection-Leck

SAP veröffentlicht am Patchday im August insgesamt 19 Patches. Bei drei davon wird das Risiko mit “hoch” bewertet. Der höchste CVSS-Score in diesem Update liegt jedoch nur bei 7.7. Besonderes Augenmerk verdient das Leck in SAP CRM.

Das Customer Relationship Management (CRM) zählt zu den am weitesten verbreiteten Lösungen von SAP und bildet zudem wichtige oder kritische Business-Prozesse ab. Schließlich werden hier nicht nur Kundendaten, sondern auch andere wichtige Informationen wie Preise gespeichert. Im August veröffentlicht SAP drei Patches für CRM. Bislang wurden schon mehr als 390 Fixes für SAP CRM veröffentlicht.

CRM zählt zu den wichtigsten Unternehmensanwendungen. (Bild: ERPScan)

Über eine SQL-Injection im SAP CRM WebClient User Interface, kann ein Remote-Angreifer manipulierte Requests schicken und damit sämtliche Kundendaten sowie Preise, Sales-Daten oder Angebote auslesen.

Ausgewähltes Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Schon im Vorfeld des Patchdays hatte SAP die Security Note 2393021 veröffentlicht. Damit behebt SAP einen Fehler in SAP Web Dynpro Flex, das das Enwickler-Kit Adobe Flex verwendet. Damit können einige selbstgeschriebene Anwendungen für eine Cross-Site-Scripting-Lücke anfällig sein. Anwender, die ältere Versionen von Adobe Flex SDK oder Web Dynpro Flex nutzen, sind davon betroffen.

Der Fehler wurde bereits 2011 bemerkt und im März 2012 gepatcht. Über das Leck konnten beliebige Web-Scripts oder HTML eingefügt werden. Es reicht aber nicht aus, alleine den Fix zu installieren. Denn es ist auch eine Library davon betroffen. Jetzt sollen die Anwendungen, die mit dieser Library gebaut wurden, mit der neuen SDK-Version nachgebaut werden.

2486657 ist mit einem CVSS von 7.7 das gefährlichste Leck. Betroffen ist SAP NetWeaver AS Java Web Container, der sich über eine Directory-Traversal-Lücke ausnutzen lässt. Darüber kann ein Angreifer auf beliebige Dateien in einem SAP-Server-Dateisystem zugreifen und hier auch den Source-Code, Konfigurationen oder Systemdateien verwenden.

PartnerZone

Effektive Meeting-und Kollaboration-Lösungen

Mitarbeiter sind heute mit Konnektivität, Mobilität und Video aufgewachsen oder vertraut. Sie nutzen die dazu erforderlichen Technologien privat und auch für die Arbeit bereits jetzt intensiv. Nun gilt es, diese Technologien und ihre Möglichkeiten in Unternehmen strategisch einzusetzen.

Der SAP Visual Composer 04 iview leidet mit 2376081 unter einem Code-Injection-Leck, das mit 7.4 von 10 möglichen Punkten bewertet ist. Darüber kann ein Angreifer eigenen Code ausführen und auf Informationen zugreifen, die nicht weiter gegeben werden sollten. Auch können Daten oder Ergebnisse verändert werden. Zudem kann sich ein Angreifer höhere Systemrechte verschaffen.

Mit 7.3 Punkten ist die Cross-Site Ajax Request-Vulnerability 2381071 in BusinessObjects bewertet. So kann ein Angreifer über einen Request die Session eines angemeldeten Users übernehmen und dann mit den Systemrechten des Nutzers agieren. Das ist über ein Scripting-Leck oder über einen Link, auf den ein Nutzer klicken muss, möglich.

Tipp: Wie gut kennen Sie SAP? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Redaktion

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

22 Stunden ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

2 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

3 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

3 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

3 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

4 Tagen ago