Sicherheitsupdate: Lücke in SAP-Server erlaubt Codeausführung

Eine kritische Sicherheitslücke in einer SAP-Serverkomponente betrifft zahlreiche Produkte, ein Patch steht bereit.

Artikel veröffentlicht am 14. Juli 2020, 12:30 Uhr, Hanno Böck

Schnell updaten: Eine SAP-Serverkomponente hat eine sehr gefährliche Sicherheitslücke. (Bild: Vladislav Bezrukov/Wikimedia Commons/CC-BY 2.0)

Zahlreiche SAP-Produkte sind von einer Remote-Code-Execution-Sicherheitslücke betroffen, die über das Netz ausgenutzt werden kann. Laut einer Meldung des US-CERT betrifft die Lücke ein Webinterface, das häufig direkt aus dem Internet erreichbar ist. Von SAP gibt es ein Sicherheitsupdate.

Stellenmarkt

Der Polizeipräsident in Berlin, Berlin
Schaeffler Technologies AG & Co. KG, Herzogenaurach

Die Lücke befindet sich in einer Komponente namens Netweaver Application Server for Java. Enthalten ist diese in zahlreichen SAP-Produkten, die in der Meldung des US-Cert aufgelistet sind. Eine Webkomponente prüft demnach Berechtigungen nicht korrekt.

Codeausführung und Zugriff auf gesamte Datenbank

Über die Lücke kann sich ein unauthentifizierter Angreifer einen Account anlegen, über den anschließend eine Codeausführung mit den Privilegien des SAP-Service-User-Accounts möglich ist. Dieser hat Zugriff auf die gesamte Datenbank.

Technische Details zur Ausnutzung der Lücke oder einen Exploit gibt es bislang nicht. Sobald diese öffentlich werden, ist davon auszugehen, dass Angreifer die Lücke großflächig angreifen werden. Wer eines der betroffenen SAP-Produkte nutzt, sollte daher das entsprechende Update umgehend installieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de