Sicherheitsleck in SAP R/3-Komponente entdeckt

Ein Leck in der SAP-Software R/3 erlaubt Hackern einen Zugriff auf den Server, auf dem das Programm läuft. Darauf hat das britische Sicherheitsunternehmen Corsaire hingewiesen, dass die Schwachstelle entdeckte. Secunia stufte die Gefahr als “moderat kritisch” ein, das britische ‘National Infrastructure Security Coordination Centre’ (NISCC) attestierte dagegen ein “hohes Risiko”.

Nach Angaben von Corsaire liegt das Leck im ‘Internet Graphics Server’ (IGS). Diese Komponente von R/3 ist über das Web zugänglich, wenn sie im System freigeschaltet wurde. Durch eine Eingabe einer HTTP-Sequenz, die die Zeichen ../.. enthält, könnten Hacker auf Dateien zugreifen – ausgestattet mit den Rechten des Anwenders, dessen Kennung genutzt wurde, um IGS zu starten. Wie ein Sprecher von SAP betonte, sind durch die Lücke weder R/3 als Anwendung noch die Daten im ERP-System gefährdet.

Auch den Vorwurf von Corsaire, SAP habe sich vor der Veröffentlichung der Schwachstelle nicht kooperativ verhalten, wies der Sprecher zurück. Man arbeite mit allen Sicherheitsfirmen zusammen. Nach Angaben von Secunia hat SAP die Lücke in R/3 Version 6.40 Patch 11 und später geschlossen. Für frühere Versionen gibt es inzwischen ein offizielles SAP-Advisory und ein Patch.