- silicon.de - http://www.silicon.de -

SAP CRM leidet an SQL-Injection-Leck

SAP veröffentlicht am Patchday im August insgesamt 19 Patches. Bei drei davon wird das Risiko mit “hoch” bewertet. Der höchste CVSS-Score in diesem Update liegt jedoch nur bei 7.7. Besonderes Augenmerk verdient das Leck in SAP CRM.

Das Customer Relationship Management (CRM) zählt zu den am weitesten verbreiteten Lösungen von SAP und bildet zudem wichtige oder kritische Business-Prozesse ab. Schließlich werden hier nicht nur Kundendaten, sondern auch andere wichtige Informationen wie Preise gespeichert. Im August veröffentlicht SAP drei Patches für CRM. Bislang wurden schon mehr als 390 Fixes für SAP CRM veröffentlicht.

critical_enterprise-Apps [1]
CRM zählt zu den wichtigsten Unternehmensanwendungen. (Bild: ERPScan)

Über eine SQL-Injection im SAP CRM WebClient User Interface, kann ein Remote-Angreifer manipulierte Requests schicken und damit sämtliche Kundendaten sowie Preise, Sales-Daten oder Angebote auslesen.

Ausgewähltes Whitepaper

Nutzen und Vorteile der Integration von ECM- und ERP-Software

Ein ECM-System kann besonders dort eine wichtige Ergänzung zu einer bereits bestehenden ERP-Lösung darstellen, wo geschäftsrelevante Dokumente separat abgelegt und mit ERP-Datensätzen verknüpft werden sollen, um Geschäftsprozesse vollständig digital abbilden zu können. Dieses Whitepaper beschreibt die Vorteile an einem konkreten Beispiel.

Schon im Vorfeld des Patchdays hatte SAP die Security Note 2393021 [2] veröffentlicht. Damit behebt SAP einen Fehler in SAP Web Dynpro Flex, das das Enwickler-Kit Adobe Flex verwendet. Damit können einige selbstgeschriebene Anwendungen für eine Cross-Site-Scripting-Lücke anfällig sein. Anwender, die ältere Versionen von Adobe Flex SDK oder Web Dynpro Flex nutzen, sind davon betroffen.

Der Fehler wurde bereits 2011 bemerkt und im März 2012 gepatcht [3]. Über das Leck konnten beliebige Web-Scripts oder HTML eingefügt werden. Es reicht aber nicht aus, alleine den Fix zu installieren. Denn es ist auch eine Library davon betroffen. Jetzt sollen die Anwendungen, die mit dieser Library gebaut wurden, mit der neuen SDK-Version nachgebaut werden.

2486657 [4] ist mit einem CVSS von 7.7 das gefährlichste Leck. Betroffen ist SAP NetWeaver AS Java Web Container, der sich über eine Directory-Traversal-Lücke ausnutzen lässt. Darüber kann ein Angreifer auf beliebige Dateien in einem SAP-Server-Dateisystem zugreifen und hier auch den Source-Code, Konfigurationen oder Systemdateien verwenden.

PartnerZone

Effektive Meeting-und Kollaboration-Lösungen

Mitarbeiter sind heute mit Konnektivität, Mobilität und Video aufgewachsen oder vertraut. Sie nutzen die dazu erforderlichen Technologien privat und auch für die Arbeit bereits jetzt intensiv. Nun gilt es, diese Technologien und ihre Möglichkeiten in Unternehmen strategisch einzusetzen.

Der SAP Visual Composer 04 iview leidet mit 2376081 [5] unter einem Code-Injection-Leck, das mit 7.4 von 10 möglichen Punkten bewertet ist. Darüber kann ein Angreifer eigenen Code ausführen und auf Informationen zugreifen, die nicht weiter gegeben werden sollten. Auch können Daten oder Ergebnisse verändert werden. Zudem kann sich ein Angreifer höhere Systemrechte verschaffen.

Mit 7.3 Punkten ist die Cross-Site Ajax Request-Vulnerability 2381071 [6] in BusinessObjects bewertet. So kann ein Angreifer über einen Request die Session eines angemeldeten Users übernehmen und dann mit den Systemrechten des Nutzers agieren. Das ist über ein Scripting-Leck oder über einen Link, auf den ein Nutzer klicken muss, möglich.

Tipp: Wie gut kennen Sie SAP? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de. [7]