Sicherheitsupdate: Lücke in SAP-Server erlaubt Codeausführung

Eine kritische Sicherheitslücke in einer SAP-Serverkomponente betrifft zahlreiche Produkte, ein Patch steht bereit.

Artikel veröffentlicht am ,
Schnell updaten: Eine SAP-Serverkomponente hat eine sehr gefährliche Sicherheitslücke.
Schnell updaten: Eine SAP-Serverkomponente hat eine sehr gefährliche Sicherheitslücke. (Bild: Vladislav Bezrukov/Wikimedia Commons/CC-BY 2.0)

Zahlreiche SAP-Produkte sind von einer Remote-Code-Execution-Sicherheitslücke betroffen, die über das Netz ausgenutzt werden kann. Laut einer Meldung des US-CERT betrifft die Lücke ein Webinterface, das häufig direkt aus dem Internet erreichbar ist. Von SAP gibt es ein Sicherheitsupdate.

Stellenmarkt
  1. Fachinformatiker*in (w/m/d) Aufgabenschwerpunkt Telekommunikationssystem
    Universität Konstanz, Konstanz
  2. Senior IT-Projektmanager (m/w/d)
    HiScout GmbH, Berlin
Detailsuche

Die Lücke befindet sich in einer Komponente namens Netweaver Application Server for Java. Enthalten ist diese in zahlreichen SAP-Produkten, die in der Meldung des US-Cert aufgelistet sind. Eine Webkomponente prüft demnach Berechtigungen nicht korrekt.

Codeausführung und Zugriff auf gesamte Datenbank

Über die Lücke kann sich ein unauthentifizierter Angreifer einen Account anlegen, über den anschließend eine Codeausführung mit den Privilegien des SAP-Service-User-Accounts möglich ist. Dieser hat Zugriff auf die gesamte Datenbank.

Technische Details zur Ausnutzung der Lücke oder einen Exploit gibt es bislang nicht. Sobald diese öffentlich werden, ist davon auszugehen, dass Angreifer die Lücke großflächig angreifen werden. Wer eines der betroffenen SAP-Produkte nutzt, sollte daher das entsprechende Update umgehend installieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Elektromobilität
Im Winter hat der ID.3 fast 30 Prozent weniger Reichweite

Der Verbrauch bei einem Elektroauto von VW schwankt über das Jahr ordentlich. Anders beim Verbrenner. Doch dessen Verbrauch ist ungleich höher.

Elektromobilität: Im Winter hat der ID.3 fast 30 Prozent weniger Reichweite
Artikel
  1. Digitale Dienste und Märkte: Wie DSA und DMA umgesetzt werden
    Digitale Dienste und Märkte
    Wie DSA und DMA umgesetzt werden

    Die Verordnungen über digitale Dienste und Märkte sind inzwischen in Kraft getreten. An ihrer Umsetzung können Interessenvertreter sich noch beteiligen.
    Ein Bericht von Friedhelm Greis

  2. Fit werden für die Cloud - zum halben Preis!
     
    Fit werden für die Cloud - zum halben Preis!

    Ohne Clouddienste geht heute in vielen Unternehmen nicht mehr viel. Die Golem Karrierewelt liefert unverzichtbares Cloud-Know-how mit 50 Prozent Black-Week-Rabatt.
    Sponsored Post von Golem Karrierewelt

  3. Cosmoteer im Test: Factorio im Weltraum
    Cosmoteer im Test
    Factorio im Weltraum

    Eine einzige Person hat über viele Jahre die Sandbox Cosmoteer entwickelt. Dort bauen wir Raumschiffe und kämpfen im All. Achtung, Suchtpotenzial!
    Ein Test von Oliver Nickel

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Black Friday bei Mindfactory, MediaMarkt & Saturn • Prime-Filme leihen für je 0,99€ • WD_BLACK SN850 1TB 129€ • GIGABYTE Z690 AORUS ELITE 179€ • SanDisk SSD Plus 1TB 59€ • Crucial P3 Plus 1TB 81,99 • Mindfactory: XFX Speedster ZERO RX 6900 XT RGB EKWB Waterblock LE 809€ [Werbung]
    •  /