
Zum Security Patch Day August hat SAP wieder Sicherheitsupdates veröffentlicht.
Die als „Hot News“ veröffentlichen Lücken betreffen dieses Mal die Produkte:
- SAP NetWeaver AS JAVA (LM Configuration Wizard); Versions - 7.30, 7.31, 7.40, 7.50
Der LM-Konfigurationsassistent des SAP NetWeaver AS JAVA mit der betroffenen Version führt keine Authentifizierungsprüfung durch. Dies hat zur Folge, dass ein Angreifer ohne vorherige Authentifizierung Konfigurationsaufgaben auszuführen kann, einschließlich der Möglichkeit, einen Administrator-User zu erstellen, und damit die Sicherheit des Systems zu gefährden.
Des Weiteren gibt es eine unzureichende Eingabepfad-Validierung für bestimmte Parameter innerhalb des WebServices. Durch diese Sicherheitslücke kann ein möglicher Angreifer eine Methode zum Herunterladen von Zip-Dateien in ein bestimmtes Verzeichnis auszunutzen.
Weitere SAP Patches mit verschiedenen Prioritäten:
- SAP NetWeaver (ABAP Server) and ABAP Platform
- SAP NetWeaver AS JAVA
- SAP Banking Services (Generic Market Data)
- SAP Adaptive Server Enterprise
Nähere Informationen finden Sie hier.
Es wird von der SAP empfohlen die im SAP Netweaver gefundenen Sicherheitslücken schnellstmöglich zu entfernen.
Wenn Sie Unterstützung bei der Bewertung der Sicherheitslücken in Bezug auf Ihre Systeme benötigen, wenden Sie sich gern direkt an Herrn René Studtmann unter Rene.Studtmann@cpro-ips.com.