Sicherheitsupdate: Lücke in SAP-Server erlaubt Codeausführung
Eine kritische Sicherheitslücke in einer SAP-Serverkomponente betrifft zahlreiche Produkte, ein Patch steht bereit.

Zahlreiche SAP-Produkte sind von einer Remote-Code-Execution-Sicherheitslücke betroffen, die über das Netz ausgenutzt werden kann. Laut einer Meldung des US-CERT betrifft die Lücke ein Webinterface, das häufig direkt aus dem Internet erreichbar ist. Von SAP gibt es ein Sicherheitsupdate.
Die Lücke befindet sich in einer Komponente namens Netweaver Application Server for Java. Enthalten ist diese in zahlreichen SAP-Produkten, die in der Meldung des US-Cert aufgelistet sind. Eine Webkomponente prüft demnach Berechtigungen nicht korrekt.
Codeausführung und Zugriff auf gesamte Datenbank
Über die Lücke kann sich ein unauthentifizierter Angreifer einen Account anlegen, über den anschließend eine Codeausführung mit den Privilegien des SAP-Service-User-Accounts möglich ist. Dieser hat Zugriff auf die gesamte Datenbank.
Technische Details zur Ausnutzung der Lücke oder einen Exploit gibt es bislang nicht. Sobald diese öffentlich werden, ist davon auszugehen, dass Angreifer die Lücke großflächig angreifen werden. Wer eines der betroffenen SAP-Produkte nutzt, sollte daher das entsprechende Update umgehend installieren.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
Der Netweaver Java Stack ist NICHT für ERP Funktionalitäten. Der Java Stack ist in der...