In mehreren Komponenten von SAPs NetWeaver-Plattform hat der Sicherheitsanbieter Positive Technologies schwerwiegende Sicherheitslücken gefunden. Angreifer konnten durch die Fehler unter Umständen das IT-System eines Unternehmens kompromittieren. Ein Update hat SAP bereits zur Verfügung gestellt.

Unbefugte haben durch die Cross-Site-Scripting-Lücke in Enterprise Portal Navigation Unbefugten Zugriff auf Sitzungs-Tokens, Anmeldedaten und andere persönliche Browser-Informationen eines Nutzers. Angreifer können den Sicherheitsforschern zufolge im Namen seines Opfers HTML-Inhalte manipulieren und Tastatureingaben abfangen.

In NetWeaver Log Viewer ermöglicht ein Fehler wiederum das Hochladen beliebiger Dateien auf einen Server. Dadurch ist eine vollständige Kompromittierung einer Datenbank oder eines Servers denkbar, da die Dateien auch ausführbaren Code enthalten können. Der Angriff könnte von dort aus sogar auf Backend-Systeme wie SAP HANA ausgeweitet werden.

Der Leiter des Bereichs Business System Security bei Positive Technologies, Dmitry Gutsko, rät betroffenen Nutzern von NetWeaver 7.31, nur zertifizierte Tools für die Integration mit SAP NetWeaver zu nutzen und das aktuelle Update einzuspielen.

(ms, hannover)

(siehe auch zdnet.de:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE