21 Sicherheitslücken hat SAP in der In-Memory-Plattform HANA geschlossen, das aus einer Sicherheitswarnung von Onapsis hervorgeht. Alle Nutzer sollten die Updates zügig einspielen, empfiehlt SAP.

Der Chef von Onapsis Mariano Nunez warnt davor, dass ein Großteil der Lücken von Angreifer aus der Ferne ohne Authentifizierung ausgenutzt werden können. Als besonders kritisch gelten acht Lücken. Hat sich ein Angreifer über die Schwachstellen Zugang zum System verschafft, kann er Abrechnungen und Informationen von Kunden kopieren und Daten löschen.

Laut Onapsis liegen die Schwachstellen unter anderem in SAP HANA Database bis Version 1.00 SPS10 und SAP HANA DB 1.00.73.00.389160 (NewDB100_REL) (HANA 1.0 SPS09). Angreifer können über diese Lücken Speicherfehler provozieren und über SQL-Schwachstellen eigenen Code ausführen und DoS-Attacken ausüben. Aktuell soll es, Onapsis und SAP zufolge, keine öffentlichen Exploits geben.

Von den acht als kritisch eingestuften Lücken lassen sich sechs davon nicht patchen. Im TrexNet-Interface, das zur Administration dient und bei jeder HANA-Installation zum Einsatz kommt, sollen sich diese Lücken befinden. Um sich abzusichern, müssen Nutzer ihre Systeme rekonfigurieren, da in der Standardeinstellung Angreifer das TrexNet-Interface aus der Ferne attackieren könnten, wie der Chef-Sicherheitsforscher von Onapsis Ezequiel Gutesman gegenüber Kaspersky erläutert.

In der aktuellen Sicherheitswarnung von SAP finden sich weitere Informationen.

(ts, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE