Inhaltsverzeichnis
Wie jeden Monat, hat die SAP auch im März zum Security Patch Day kritische Sicherheitslücken in verschiedenen Produkten beseitigt:
Die als „Hot News“ bewerteten Lücken betreffen die Produkte:
- SAP Solution Manager 7.2
- SAP NetWeaver UDDI Server (Services Registry), Versionen - 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50
Alle drei Lücken können von nicht autorisierten Personen remote ausgenutzt werden und sollten daher umgehend durch ein Update geschlossen werden.
- Die Sicherheitslücken im SAP Solution Manager basieren auf einer fehlenden Authentifizierungsüberprüfung. Diese ermöglicht nicht authentifizierten Angreifern den Aufbau von unverschlüsselten Verbindungen. Das bedeutet, dass via Fernzugriff die unerlaubte Ausführung beliebiger verfügbarer Funktionen sowie aller SMD-Agents, die mit dem SAP Solution Manager verbunden sind, möglich wird.
- Die NetWeaver-Lücke basiert auf unzureichenden Validierungsmechanismen von Pfadangaben und daraus resultierenden unbefugten Ordner- beziehungsweise Dateizugriffsmöglichkeiten durch entfernte Angreifer (Zugriff auf übergeordnete Verzeichnisse mittels Path Traversal).
- Zudem wurden vier Sicherheitspatches mit der Einstufung „High“ sowie zehn Patches mit der Priorität „Medium“ veröffentlicht.
Nähere Informationen finden Sie hier.
Wir empfehlen unseren Kunden dringend die Relevanz der genannten Sicherheitslücken für die eigenen Systeme zu prüfen und durch entsprechende Updates zu schließen.
