• IT-Karriere:
  • Services:

Sicherheitsupdate: Lücke in SAP-Server erlaubt Codeausführung

Eine kritische Sicherheitslücke in einer SAP-Serverkomponente betrifft zahlreiche Produkte, ein Patch steht bereit.

Artikel veröffentlicht am ,
Schnell updaten: Eine SAP-Serverkomponente hat eine sehr gefährliche Sicherheitslücke.
Schnell updaten: Eine SAP-Serverkomponente hat eine sehr gefährliche Sicherheitslücke. (Bild: Vladislav Bezrukov/Wikimedia Commons/CC-BY 2.0)

Zahlreiche SAP-Produkte sind von einer Remote-Code-Execution-Sicherheitslücke betroffen, die über das Netz ausgenutzt werden kann. Laut einer Meldung des US-CERT betrifft die Lücke ein Webinterface, das häufig direkt aus dem Internet erreichbar ist. Von SAP gibt es ein Sicherheitsupdate.

Stellenmarkt
  1. Statistisches Bundesamt, Wiesbaden
  2. i-SOLUTIONS Health GmbH, Bochum, Düsseldorf, Magdeburg, Chemnitz, Mannheim

Die Lücke befindet sich in einer Komponente namens Netweaver Application Server for Java. Enthalten ist diese in zahlreichen SAP-Produkten, die in der Meldung des US-Cert aufgelistet sind. Eine Webkomponente prüft demnach Berechtigungen nicht korrekt.

Codeausführung und Zugriff auf gesamte Datenbank

Über die Lücke kann sich ein unauthentifizierter Angreifer einen Account anlegen, über den anschließend eine Codeausführung mit den Privilegien des SAP-Service-User-Accounts möglich ist. Dieser hat Zugriff auf die gesamte Datenbank.

Technische Details zur Ausnutzung der Lücke oder einen Exploit gibt es bislang nicht. Sobald diese öffentlich werden, ist davon auszugehen, dass Angreifer die Lücke großflächig angreifen werden. Wer eines der betroffenen SAP-Produkte nutzt, sollte daher das entsprechende Update umgehend installieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. Battlefield Promo mit Battlefield V Definitive Edition für 24,99€, Star Wars Battlefront...
  2. 382,69€ (Bestpreis!)
  3. 189,00€ (Bestpreis!)
  4. 72,90€

thorben 14. Jul 2020

Der Netweaver Java Stack ist NICHT für ERP Funktionalitäten. Der Java Stack ist in der...


Folgen Sie uns
       


Mercedes EQA Probe gefahren

Wir sind mit dem EQA von Mercedes-Benz für ein paar Stunden unterwegs gewesen.

Mercedes EQA Probe gefahren Video aufrufen
Summit Lite im Test: Auch Montblancs günstige Smartwatch ist zu teuer
Summit Lite im Test
Auch Montblancs "günstige" Smartwatch ist zu teuer

Montblancs Summit Lite ist eine Smartwatch für Fitnessbegeisterte, die nach echter Uhr aussieht. Den Preis halten wir trotz hervorragender Verarbeitung für zu hoch.
Ein Test von Tobias Költzsch

  1. Soziales Netzwerk Bei Facebook entsteht eine Smartwatch im Geheimen
  2. Wearable Amazfit bringt kompakte Smartwatch für 100 Euro
  3. T-Touch Connect Solar Tissots Smartwatch ab 935 Euro in Deutschland verfügbar

Börse: Was zur Hölle ist ein SPAC?
Börse
Was zur Hölle ist ein SPAC?

SPACs sind die neue Modewelle an der Börse: Firmen, die es eigentlich nicht könnten, gehen unter dem Mantel einer anderen Firma an die Börse. Golem.de hat unter den Mantel geschaut.
Eine Analyse von Achim Sawall

  1. Wallstreetbets Trade Republic entschuldigt sich für Probleme mit Gamestop
  2. Tokyo Stock Exchange Hardware-Ausfall legte Tokioter Börse lahm

AOC Agon AG493UCX im Test: Breit und breit macht ultrabreit
AOC Agon AG493UCX im Test
Breit und breit macht ultrabreit

Der AOC Agon AG493UCX deckt die Fläche zweier 16:9-Monitore in einem Gerät ab. Dafür braucht es allerdings auch ähnlich viel Platz.
Ein Test von Mike Wobker

  1. Agon AG493UCX AOC verkauft 49-Zoll-Ultrawide-Monitor mit USB-C und 120 Hz

    •  /