SEC Consult Vulnerability Lab entdeckt kritische Schwachstelle in SAP® ABAP Systemen

Die Experten des SEC Consult Vulnerability Lab haben in SAP® Service Data Download eine kritische Schwachstelle identifiziert, die sämtliche SAP® ABAP Systeme, die den SAP® Solution Manager Plugin ST-PI verwenden, betrifft.

Gestern wurden von SAP mehrere Updates veröffentlicht, um kritische Sicherheitslücken zu beseitigen. SEC Consult entdeckte die Schwachstelle im SAP® Service Data Download am 20. April 2020 und verständigte SAP im Rahmen des SEC Consult-Responsible-Disclosure-Prozesses sofort. In Zusammenarbeit mit dem SAP Product Security Response Team wurde die Lücke geschlossen und SAP stellte den Patch am 12. Mai 2020 zur Verfügung.

Eine Attacke kann über das Netzwerk durchgeführt werden, indem der Angreifer beliebigen Code in die Applikation injiziert. Damit ist eine vollständige Manipulation der Applikationslogik und des Verhaltens des SAP-Application-Servers ABAP möglich. Durch diese hochkritische Schwachstelle können unter anderem beliebige Kommandos unautorisiert ausgeführt, beliebige sensible Daten ausgespäht und Denial of Service (DoS)-Angriffe durchgeführt werden.

In Übereinkunft mit den entsprechenden Responsible-Disclosure-Guidelines von SAP werden detaillierte Informationen über die Schwachstelle selbst drei Monate nach Herausgabe der Patches veröffentlicht.

Weitere Details und technische Informationen finden Sie unter:

SEC Consult Blog (de)

https://sec-consult.com/blog/2020/05/unmittelbar-patchen-kritische-schwachstelle-in-sap-abap-systemen-cve-2020-6262/

SEC Consult Blog (engl.)

https://sec-consult.com/en/blog/2020/05/patch-immediately-critical-vulnerability-in-sap-abap-systems-cve-2020-6262/

Über die SEC Consult Deutschland Unternehmensberatung GmbH

SEC Consult ist eines der führenden Beratungsunternehmen für Cyber- und Applikationssicherheit. Das Unternehmen mit Niederlassungen in Europa, Asien und Nordamerika ist Spezialist für externe und interne Sicherheitsüberprüfungen, Penetrationstests, den Aufbau von Informationssicherheits-Management und Zertifizierungsbegleitung nach ISO 27001, Cyber-Defence, sichere Software(-Entwicklung) und die schrittweise, nachhaltige Verbesserung des Sicherheitsniveaus. Zu den Kunden von SEC Consult gehören Regierungsbehörden, internationale Organisationen und führende Unternehmen aus verschiedenen Branchen der Privatwirtschaft, sowie kritische Infrastrukturen. Weitere Informationen finden Sie unter: www.sec-consult.com

Firmenkontakt und Herausgeber der Meldung:

SEC Consult Deutschland Unternehmensberatung GmbH
Ullsteinstraße 118
12109 Berlin
Telefon: +49 (30) 398202700
http://www.sec-consult.com

Ansprechpartner:

Magdalen Jünger
Head of Marketing
Telefon: +49 (30) 398202700
E-Mail: m.juenger@sec-consult.com

Dorothea Keck
PR-Agentur: Weissenbach PR
Telefon: +49 (89) 5506-7773
E-Mail: SEC_PR@weissenbach-pr.de

Weiterführende Links

Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.