Kundenservice Veranstaltungen: 02234-9894940
Kundenservice Bücher: 089-21837921
Aboservice Zeitschriften: 089-21837110

Kritische Schwachstelle in SAP ABAP Systemen

Wie jetzt bekannt wurde, gab es in SAP Service Data Download eine kritische Schwachstelle, die sämtliche SAP ABAP Systeme betraf, die den SAP Solution Manager Plugin ST-PI verwenden. Mit den jüngsten Updates konnte SAP die kritischen Sicherheitslücken beseitigen.

Am 12. Mai 2020 wurden von SAP mehrere Updates veröffentlicht, um kritische Sicherheitslücken zu beseitigen. SEC Consult entdeckte die Schwachstelle im SAP Service Data Download am 20. April 2020 und verständigte SAP im Rahmen des SEC Consult-Responsible-Disclosure-Prozesses sofort. In Zusammenarbeit mit dem SAP Product Security Response Team wurde die Lücke geschlossen.

Ohne den Patch besteht ein hohes Risiko: Eine Attacke kann über das Netzwerk durchgeführt werden, indem der Angreifer beliebigen Code in die Applikation injiziert. Damit ist eine vollständige Manipulation der Applikationslogik und des Verhaltens des SAP-Application-Servers ABAP möglich. Durch diese hochkritische Schwachstelle können unter anderem beliebige Kommandos unautorisiert ausgeführt, beliebige sensible Daten ausgespäht und Denial of Service (DoS)-Angriffe durchgeführt werden.

In Übereinkunft mit den entsprechenden Responsible-Disclosure-Guidelines von SAP werden detaillierte Informationen über die Schwachstelle selbst drei Monate nach Herausgabe der Patches veröffentlicht. Weitere Details und technische Informationen gibt es im SEC Consult Blog.

 

Teaserbild: Pixabay