Sicherheitsupdate: Lücke in SAP-Server erlaubt Codeausführung

Eine kritische Sicherheitslücke in einer SAP-Serverkomponente betrifft zahlreiche Produkte, ein Patch steht bereit.

Artikel veröffentlicht am ,
Schnell updaten: Eine SAP-Serverkomponente hat eine sehr gefährliche Sicherheitslücke.
Schnell updaten: Eine SAP-Serverkomponente hat eine sehr gefährliche Sicherheitslücke. (Bild: Vladislav Bezrukov/Wikimedia Commons/CC-BY 2.0)

Zahlreiche SAP-Produkte sind von einer Remote-Code-Execution-Sicherheitslücke betroffen, die über das Netz ausgenutzt werden kann. Laut einer Meldung des US-CERT betrifft die Lücke ein Webinterface, das häufig direkt aus dem Internet erreichbar ist. Von SAP gibt es ein Sicherheitsupdate.

Stellenmarkt
  1. IT-Support Mitarbeiter (1st Level) (m/w/d)
    Bruno Bader GmbH + Co.KG, Pforzheim
  2. Softwareentwickler (m/w/d) im Bereich Data Analytics
    Dürr Systems AG, Bietigheim-Bissingen
Detailsuche

Die Lücke befindet sich in einer Komponente namens Netweaver Application Server for Java. Enthalten ist diese in zahlreichen SAP-Produkten, die in der Meldung des US-Cert aufgelistet sind. Eine Webkomponente prüft demnach Berechtigungen nicht korrekt.

Codeausführung und Zugriff auf gesamte Datenbank

Über die Lücke kann sich ein unauthentifizierter Angreifer einen Account anlegen, über den anschließend eine Codeausführung mit den Privilegien des SAP-Service-User-Accounts möglich ist. Dieser hat Zugriff auf die gesamte Datenbank.

Technische Details zur Ausnutzung der Lücke oder einen Exploit gibt es bislang nicht. Sobald diese öffentlich werden, ist davon auszugehen, dass Angreifer die Lücke großflächig angreifen werden. Wer eines der betroffenen SAP-Produkte nutzt, sollte daher das entsprechende Update umgehend installieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Kickstarter
Die Pibox ist ein Mini-NAS mit Raspberry Pi

Auf Basis des Raspberry Pi CM 4 entsteht die Pibox. Mittels Carrier-Platinen können daran zwei 2,5-Zoll-Laufwerke angeschlossen werden.

Kickstarter: Die Pibox ist ein Mini-NAS mit Raspberry Pi
Artikel
  1. Exascale: Europa-Supercomputer nutzt ARM mit Intel-Beschleunigern
    Exascale
    Europa-Supercomputer nutzt ARM mit Intel-Beschleunigern

    Der erste europäische Supercomputer der Exascale-Klasse kombiniert eigene ARM-Prozessoren, die Sipearl Rhea, mit Intels Ponte Vecchio.

  2. S9U fürs Homeoffice: Samsung stellt 49-Zoll-Ultrawide-Monitor mit KVM-Switch vor
    S9U fürs Homeoffice
    Samsung stellt 49-Zoll-Ultrawide-Monitor mit KVM-Switch vor

    Der S9U ist Samsungs neuer 32:9-Bildschirm. Er integriert USB-C mit 90 Watt Power Delivery und einen KVM-Switch. Das Panel schafft 120 Hz.

  3. XTurismo: Fliegendes Jetski aus Japan für knapp 600.000 Euro
    XTurismo
    Fliegendes Jetski aus Japan für knapp 600.000 Euro

    Wo auch immer man sie fliegen dürfen wird, Multikopter für den Personentransport sind im Kommen. Dieses Flugobjekt stammt aus Japan.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • WD Black SN750 1TB 89,90€ • Acer 27" FHD 165Hz 191,59€ • PS5 Digital + 2. Dualsense + 100€-Amazon-Gutschein mit o2-Vertrag sofort lieferbar • Kingston 1TB PCIe 69,90€ • GTA Trilogy Definitive 59,99€ • Alternate-Deals (u. a. Apacer 960GB SATA 82,90€) [Werbung]
    •  /