Im Monat Juni gab es keine von der SAP als „Hot News“ veröffentlichten Sicherheitslücken.
Eine als „hoch" eingestufte Sicherheitslücke betrifft eine cross Site Scripting-Schwachstelle in SAP Financial Consolidation.
Produkt: SAP Financial Consolidation, Versionen FINANCE 1010
Es besteht eine Sicherheitslücke in SAP Financial Consolidation, wodurch Daten über eine nicht vertrauenswürdige Quelle in eine Webanwendung gelangen können.
Diese Endpunkte werden über das Netzwerk exponiert und ermöglichen es dem Benutzer, den Inhalt der Website zu ändern.
Die Schwachstelle tritt auf, da SAP Financial Consolidation die benutzergesteuerten Eingaben nicht ausreichend kodiert.
- Wenn diese Schwachstelle erfolgreich ausgenutzt wird, kann dies erhebliche Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung haben. Systeminformationen können offengelegt werden, welche die Integrität und Vertraulichkeit der Daten bedrohen.
- Die SAP empfiehlt, die im Hinweis referenzierten Support-Packages und Patches einzuspielen.
- Mehr dazu finden Sie unter dem Hinweis: 3457592
Eine weitere als „hoch" eingestufte Sicherheitslücke betrifft Denial-of-Service (DOS) in SAP NetWeaver AS Java (Meta Model Repository)
Produkt: SAP NetWeaver AS Java, Versionen MMR_SERVER 7.5
SAP NetWeaver AS Java ist aufgrund des uneingeschränkten Zugriffs auf die Metamodell-Repository-Services anfällig für DoS-Angriffe (Denial-of-Service). Diese Angriffe können legitime Benutzer daran hindern, auf die Anwendung zuzugreifen.
- Eine erfolgreiche Ausnutzung der Sicherheitslücke hat keine Auswirkung auf die Vertraulichkeit und Integrität der Daten, aber dennoch hat diese Schwachstelle erhebliche Auswirkungen auf die Verfügbarkeit der Anwendung.
- Die SAP empfiehlt, die im Hinweis referenzierten Support-Packages und Patches einzuspielen.
- Mehr dazu finden Sie unter dem Hinweis: 3460407
Nähere Informationen zu allen veröffentlichten Sicherheitslücken vom SAP Patch Day Juni finden Sie hier.
Wenn Sie Unterstützung bei der Bewertung der Sicherheitslücken in Bezug auf Ihre Systeme benötigen, wenden Sie sich gern direkt an Herrn René Studtmann unter Rene.Studtmann@cpro-ips.com.