SAP veröffentlicht 30 Sicherheits-Updates im August

Martin Schindler,
SAP (Bild: 360b / Shutterstock.com)

Einige Lecks stellen schwere Risiken für Unternehmen dar und können ohne Authentifizierung via Fernzugriff ausgenutzt werden.

SAP veröffentlicht 30 Security Notes. Betroffen sind unter anderem der Internet Communication Manager. Die Notes setzen sich aus vier Support Packages und 26 SAP Security Patch Notes zusammen. 17 davon hat SAP bereits vor dem offiziellen Patchtag, dem zweiten Dienstag im August veröffentlicht. Darüber hinaus aktualisiert SAP im August in 14 Fällen ältere Updates.

Auch wenn die Zahl der Patches vergleichsweise hoch ist, fällt die höchste Gefährdungsstufe mit einem CVSS-Score von 7.5 eher moderat aus. 14 Patches stuft SAP dennoch mit einer hohen Priorität ein und ein Patch gilt als Hot News. Wie auch in den vorhergehenden Patch-Tagen ist Cross-Site-Scripting der häufigste Fehler.

Im August behebt SAP vergleichsweise viele Lecks mit einer "hohen" Gefährdungsstufe. (Bild: ERPScan)
Im August behebt SAP vergleichsweise viele Lecks mit einer “hohen” Gefährdungsstufe. (Bild: ERPScan)

Der schwerwiegendste Fehler liegt im SAP Internet Communication Manager (CVSS Base Score: 7.5). Ein Angreifer kann remote und ohne Authentifizierung mit einer Denial of Service Attacke Prozesse im Internet Communication Manager beenden. Anwender können dann den Service nicht mehr nutzen. Über diesen Server können SAP-Anwender und deren Partner auf Web-Anwendungen wie CRM oder Portal zugreifen.

Das Leck ermöglicht es einem Angreifer, diesen Zugriff zu verhindern. Bereits kurze Ausfallzeiten können in manchen Installationen großen finanziellen Schaden hervorrufen. Derzeit sollen rund 560 Server bei Anwenderunternehmen betroffen sein, wie der SAP-Sicherheitsexperte ERPScan in einem Blog mitteilt.

ERPScan lokalisiert Systeme , die von dem Leck im Internet Communications Manager betroffen sind. (Bild: ERPScan)
ERPScan lokalisiert Systeme , die von dem Leck im Internet Communications Manager betroffen sind. (Bild: ERPScan)

Einen Denial of Service Fehler behebt ein Update in der SAP Memory Snapshot Creation (CVSS 7.5) hier kann der Angreifer den Service stilllegen.

Die SAP Database Monitors for Oracle lässt sich zudem mit einer SQL Injection Vulnerability (CVSS 7.2) angreifen. Mit speziellen SQL-Abfragen kann ein Angreifer sensible Informationen abgreifen oder auch Administrationsaufgaben in Datenbanken durchführen und auf diese Weise Daten unbrauchbar machen.

Der JMS Provider Service kann dank einer fehlenden Autorisierung (CVSS 6.4) auf Services zugreifen und hier Dienste nutzen, die eigentlich einer Zugriffsbeschränkung unterliegen sollten.

Cross Site Scripting Fehler (XSS) sind nach wie vor die häufigste Ursache. (Bild: ERPScan)
Cross Site Scripting Fehler (XSS) sind nach wie vor die häufigste Ursache. (Bild: ERPScan)

Mit CVSS 6.4 wird ein Leck im SAP BPM bewertet. In diesem Fall kann ein Angreifer ebenfalls Prozesse in diesem Modul abschießen.

Ein Directory Traversal Leck erreicht die Gefährdungsstufe 4.3. So kann ein Angreifer damit auf beliebige Dateien und Verzeichnisse auf einem SAP-Server-Dateisystem zugreifen und hier sogar den Source-Code von Anwendungen oder Konfigurationsdateien ändern. In Folge können Angreifer auch sensible Informationen abgreifen. Ein Fehler der gleichen Art liegt auch im SAP Telnet Command.

Erst vor wenigen Tagen hatte ERPScan einen Jahresbericht zur SAP-Sicherheit vorgelegt und darin erklärt, dass weltweit 36.000 SAP-Systeme weltweit über das Internet erreichbar seien. Davon sollten die meisten, nämlich rund 70 Prozent, nicht über das Web verfügbar sein. Häufig sei dabei eine fehlerhafte Konfiguration der Grund dafür.