Schwerwiegende Sicherheitslücken in SAP NetWeaver entdeckt

Der Sicherheitsanbieter Positive Technologies hat in mehreren Komponenten von SAPs NetWeaver-Plattform schwerwiegende Sicherheitslücken gefunden. Die Fehler erlauben es einem Angreifer unter Umständen, das IT-System eines Unternehmens zu kompromittieren. SAP hat bereits ein Update zur Verfügung gestellt.

NetWeaver dient als interoperable Plattform für die Entwicklung webbasierter Anwendungen, die Geschäftsprozesse und Datenbanken aus zahlreichen Quellen integrieren. Betroffen sind die Komponenten SAP Enterprise Portal Theme Editor, NetWeaver Log Viewer und SAP Enterpriese Portal Navigation. Im zehnstufigen Common Vulnerability Scoring System sind die Anfälligkeiten mit 5,4 beziehungsweise 6,1 Punkten bewertet.

Eine Cross-Site-Scripting-Lücke in Enterprise Portal Navigation gibt Unbefugten Zugriff aus Sitzungs-Tokens, Anmeldedaten und andere persönliche Browser-Informationen eines Nutzers. Den Sicherheitsforschern zufolge könnte ein Angreifer zudem im Namen seines Opfers HTML-Inhalte manipulieren und Tastatureingaben abfangen.

Der Fehler in NetWeaver Log Viewer wiederum ermöglicht das Hochladen beliebiger Dateien auf einen Server. Da die Dateien auch ausführbaren Code enthalten können, ist auch eine vollständige Kompromittierung einer Datenbank oder des Servers denkbar. Von dort könnte der Angriff sogar auf Backend-Systeme wie SAP HANA ausgeweitet werden.

„Großunternehmen weltweit nutzen SAP, um Finanzströme, Produkte, Beziehungen zu Kunden und Lieferanten, Unternehmensressourcen, Beschaffung und andere kritische Geschäftsprozesse zu verwalten. Es ist überlebenswichtig, die in SAP-Systemen gespeicherten Informationen zu schützen, da jeder Verlust vertraulicher Informationen verheerende Auswirkungen für das Unternehmen hätte“, erklärte Dmitry Gutsko, Leiter des Bereichs Business System Security bei Positive Technologies.

Betroffenen Nutzern von NetWeaver 7.31 rät er, das aktuelle Update einzuspielen und nur Tools zu benutzen, die für die Integration mit SAP NetWeaver zertifiziert sind.

Im März hatte SAP eine Zero-Day-Lücke kurzfristig geschlossen, die Nutzer der HANA-Datenbank bedrohte. Hacker konnten mithilfe der Schwachstelle ohne Eingabe von Nutzername und Passwort ein betroffenes Datenbanksystem übernehmen. Der Patch von SAP beseitigte unter anderem zwei SQL-Injection-Anfälligkeiten sowie einen Bug, der die Rechteverwaltung umging.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

[mit Material von Roland Moore-Colyer, Silicon.co.uk]

Tipp: Wie gut kennen Sie SAP? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Konsolidierte und strukturierte Daten für medizinische Versorgung

Telekom und vitagroup stellen Kliniken offene Plattform zur Verfügung, die Gesundheitsdaten unabhängig von einzelnen Herstellern…

5 Stunden ago

Zahl der Webauftritte sinkt wieder

Auch 2023 war kein gutes Jahr für die Hoster von KMU-Webseiten. Erneut schlossen viele Mittelständler…

6 Stunden ago

Pwn2Own: Google verteilt Sicherheitsupdate für Chrome

Es schließt zwei schwerwiegende Lücken, die eine Remotecodeausführung erlauben. Darüber hinaus stopft Google ein kritisches…

1 Tag ago

IT-Verzicht fürs Klima – wie viele sind dazu bereit?

Der Digitalverband Bitkom hat 1.000 Deutsche danach befragt, auf welche Angebote sie aus Gründen des…

1 Tag ago

BSI warnt Microsoft-Exchange-Nutzer

Laut Bundesamt sind mindestens 17.000 Instanzen in Deutschland durch eine oder mehrere kritische Schwachstellen verwundbar.

1 Tag ago

Apple kündigt Entwicklerkonferenz WWDC 2024 für 10. Juni an

Die Veranstaltung startet wie in jedem Jahr mit einer Keynote. Apple verspricht Neuerungen für alle…

1 Tag ago