SAP-Bug gefährdet Point-of-Sales-Installationen

AuthentifizierungSicherheit

SAP veröffentlicht Sicherheitsupdates für den Monat Juli und behebt ein Leck in der weit verbreiteten Point-of-Sale-Lösung.

SAP veröffentlicht im Juli insgesamt 23 Security-Notes. Zwölf sind Sicherheits-Patches und 11 Support-Package Notes. Davon sind vier mit der Risiko-Stufe ‘hoch’ bewerte. Von den meisten Lecks geht jedoch eine mittlere Gefährdung aus. Der gewichtigste Fehler liegt in SAP POS, der Point-of-Sale-Lösung von SAP, wie der ERP-Sicherheits-Spezialisten ERPScan meldet

Aufbau der weit verbreiteten Retail-Lösung SAP POS. (Bild: ERPScan)
Aufbau der weit verbreiteten Retail-Lösung SAP POS. (Bild: ERPScan)

Über das Leck, das mit einem CVSS-Score von 8,1 (von 10) bewertet ist, können Angreifer sensible Informationen lesen, schreiben oder löschen. Zudem kann ein Angreifer ohne Authentifizierung alle Informationen auslesen, die über das Receipt-Window in der POS-Lösung dargestellt werden.

SAP POS ist Teil des Retail-Portfolio von SAP und das wird von etwa 80 Prozent der 2000 weltweit größten Retail-Unternehmen verwendet. Die Lösung besteht aus Client-Anwendungen, einem Store Server und verschiedenen Anwendungen in der Zentrale, über die die Lösung zentral konfiguriert werden kann.

Ausgewähltes Whitepaper

Keine digitale Transformation ohne Software-Defined Networking

Unternehmen setzen auf die Digitalisierung. Manche haben bereits Maßnahmen eingeleitet, andere bereiten sich darauf vor. Dieses Whitepaper untersucht, welchen Beitrag die Cloud dabei leisten kann.

Im POS Xpress-Server ist keine Authentifizierung nötig, um kritische Funktionen ausführen zu können, dadurch kann ein Angreifer per Fernzugriff ohne Berechtigung auf alle Dateien auf einem POS-Server zugreifen, die Anwendung schließen oder auch die Inhalte des POS überwachen. Technische Details zu dem Leck wolle ERPScan erst Ende August veröffentlichen, um Anwendern Zeit zu geben, das Leck zu beheben.

Von SAP heißt es dazu: “SAP arbeitet seit Jahren eng mit verschiedenen externen Unternehmen zusammen, die sich auf die Sicherheit von SAP-Lösungen spezialisiert haben. Dazu zählt auch die Firma ERPScan. Die angesprochenen Sicherheitslücken, insbesondere in SAP Point of Sale (POS) Retail Xpress Server sind mittlerweile bereinigt und stehen zum Herunterladen im SAP Support Portal bereit. Wir empfehlen unseren Kunden, alle verfügbaren Patches für ihre Systeme einzuspielen, sobald sie verfügbar sind.”

Weitere Fehler liegen beispielsweise in SAP Governance, Risk and Compliance Access Controls (GRC), die an einer Code-Injection-Vulnerability leiden. Hier können Angreifer unter bestimmten Umständen Code ausführen oder sensible Informationen abgreifen.

Mehr zum Thema

Server-Hosting: Sicherheit und Datenschutz

Wer Server oder eigene Clouddienste im Internet zur Verfügung stellen will, sollte auf maximale Sicherheit achten. Dabei hilft ein zuverlässiger Partner, der sich um die Sicherheit der Server und der darauf installierten Software kümmert. Erfahren Sie hier mehr.

Über ein XML-Leck in der SAP BI Promotion Management Application kann ein Angreifer über ein Cross-Site-Scripting bösartige Scripte in eine Seite einbauen und darüber Informationen auslesen.

Interessant ist ein Blick auf die Fehler-Arten: jeweils vier Fehler entfallen auf “Switchable Authorization Check”, vier weitere sind Implementierungsfehler, und ebenfalls vier gehen auf eine fehlende Authorisierung zurück. Cross-Site-Scripting, was lange die Fehler-Statistiken bei SAP-Produkten anführte, machen beim aktuellen Patch-Tag lediglich drei Fehler aus.

[update 14.43: Der Text wurde korrigiert, da über ERP-Scan eine zu hohe Zahl von SAP POS-Installationen gemeldet wurde.

update 15.29 am 13.07.: Kommentar von SAP eingefügt.]

Umfrage

Automatisierung: Wie weit sind Sie mit Ihrem Unternehmen?

Ergebnisse

Loading ... Loading ...

 

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen