Gefährliche Sicherheitslücken in SAP-Software | heise Security

Patchday: Gefährliche Sicherheitslücken in SAP-Software


Alert!

13.09.2018 11:24 Uhr
Dennis Schirrmacher

Patchday: Gefährliche Sicherheitslücken in SAP-Software

(Bild: geralt)

Wichtige Sicherheitsupdates stopfen Lücken in der betriebswirtschaftlichen Software von SAP.

SAP Business One, HANA und NetWeaver sind über mit dem Bedrohungsgrad “hoch” eingestufte Sicherheitslücken angreifbar. Insgesamt hat der Softwarehersteller an diesem Patchday 13 Hinweise inklusive der CVE-Nummern der Lücken in seinem Sicherheitsportal veröffentlicht. Aktualisierte Versionen betroffener Anwendungen lösen die Probleme.

Unter gewissen Voraussetzungen könnten Angreifer Business One in den Versionen 9.2 und 9.3 attackieren und Zugriff auf eigentlich abgeschottete Informationen bekommen. NetWeaver und HANA (Version 1.0 und 2.0) können sich aufgrund einer unzureichenden Überprüfung an XML-Dokumenten verschlucken. Bei HANA könnte das zu einem Datenbank-Server Crash führen.

Weitere Angriffsmöglichkeiten

Darüber hinaus gibt es noch Ansatzpunkte für Datenleaks und XSS-Attacken in beispielsweise Adaptive Server Enterprise und WebDynpro. Diese Lücken stuft SAP mit dem Bedrohungsgrad “mittel” ein. Die Business One Android Applikation überprüft in der Version 1.2 Zertifikate im Zuge einer HTTPS-Verbindung nicht korrekt. Die Schwachstelle ist mit “niedrig” eingestuft.

Weitere Informationen über die Sicherheitslücken und Patches können SAP-Kunden im Support-Portal abrufen.

(des)

Source