SAP CRM leidet an SQL-Injection-Leck

SAP (Bild: SAP)

Anwendungen, die mit Adobe Flex geschrieben wurden, können über ein XSS-Sicherheitsleck angegriffen werden. Insgesamt veröffentlicht SAP 19 Patches.

SAP veröffentlicht am Patchday im August insgesamt 19 Patches. Bei drei davon wird das Risiko mit “hoch” bewertet. Der höchste CVSS-Score in diesem Update liegt jedoch nur bei 7.7. Besonderes Augenmerk verdient das Leck in SAP CRM.

Das Customer Relationship Management (CRM) zählt zu den am weitesten verbreiteten Lösungen von SAP und bildet zudem wichtige oder kritische Business-Prozesse ab. Schließlich werden hier nicht nur Kundendaten, sondern auch andere wichtige Informationen wie Preise gespeichert. Im August veröffentlicht SAP drei Patches für CRM. Bislang wurden schon mehr als 390 Fixes für SAP CRM veröffentlicht.

critical_enterprise-Apps
CRM zählt zu den wichtigsten Unternehmensanwendungen. (Bild: ERPScan)

Über eine SQL-Injection im SAP CRM WebClient User Interface, kann ein Remote-Angreifer manipulierte Requests schicken und damit sämtliche Kundendaten sowie Preise, Sales-Daten oder Angebote auslesen.

Ausgewähltes Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Schon im Vorfeld des Patchdays hatte SAP die Security Note 2393021 veröffentlicht. Damit behebt SAP einen Fehler in SAP Web Dynpro Flex, das das Enwickler-Kit Adobe Flex verwendet. Damit können einige selbstgeschriebene Anwendungen für eine Cross-Site-Scripting-Lücke anfällig sein. Anwender, die ältere Versionen von Adobe Flex SDK oder Web Dynpro Flex nutzen, sind davon betroffen.

Der Fehler wurde bereits 2011 bemerkt und im März 2012 gepatcht. Über das Leck konnten beliebige Web-Scripts oder HTML eingefügt werden. Es reicht aber nicht aus, alleine den Fix zu installieren. Denn es ist auch eine Library davon betroffen. Jetzt sollen die Anwendungen, die mit dieser Library gebaut wurden, mit der neuen SDK-Version nachgebaut werden.

2486657 ist mit einem CVSS von 7.7 das gefährlichste Leck. Betroffen ist SAP NetWeaver AS Java Web Container, der sich über eine Directory-Traversal-Lücke ausnutzen lässt. Darüber kann ein Angreifer auf beliebige Dateien in einem SAP-Server-Dateisystem zugreifen und hier auch den Source-Code, Konfigurationen oder Systemdateien verwenden.

PartnerZone

Effektive Meeting-und Kollaboration-Lösungen

Mitarbeiter sind heute mit Konnektivität, Mobilität und Video aufgewachsen oder vertraut. Sie nutzen die dazu erforderlichen Technologien privat und auch für die Arbeit bereits jetzt intensiv. Nun gilt es, diese Technologien und ihre Möglichkeiten in Unternehmen strategisch einzusetzen.

Der SAP Visual Composer 04 iview leidet mit 2376081 unter einem Code-Injection-Leck, das mit 7.4 von 10 möglichen Punkten bewertet ist. Darüber kann ein Angreifer eigenen Code ausführen und auf Informationen zugreifen, die nicht weiter gegeben werden sollten. Auch können Daten oder Ergebnisse verändert werden. Zudem kann sich ein Angreifer höhere Systemrechte verschaffen.

Mit 7.3 Punkten ist die Cross-Site Ajax Request-Vulnerability 2381071 in BusinessObjects bewertet. So kann ein Angreifer über einen Request die Session eines angemeldeten Users übernehmen und dann mit den Systemrechten des Nutzers agieren. Das ist über ein Scripting-Leck oder über einen Link, auf den ein Nutzer klicken muss, möglich.

Tipp: Wie gut kennen Sie SAP? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.