Gestern wurden von SAP mehrere Updates veröffentlicht, um kritische Sicherheitslücken zu beseitigen. SEC Consult entdeckte die Schwachstelle im SAP® Service Data Download am 20. April 2020 und verständigte SAP im Rahmen des SEC Consult-Responsible-Disclosure-Prozesses sofort. In Zusammenarbeit mit dem SAP Product Security Response Team wurde die Lücke geschlossen und SAP stellte den Patch am 12. Mai 2020 zur Verfügung.
Eine Attacke kann über das Netzwerk durchgeführt werden, indem der Angreifer beliebigen Code in die Applikation injiziert. Damit ist eine vollständige Manipulation der Applikationslogik und des Verhaltens des SAP-Application-Servers ABAP möglich. Durch diese hochkritische Schwachstelle können unter anderem beliebige Kommandos unautorisiert ausgeführt, beliebige sensible Daten ausgespäht und Denial of Service (DoS)-Angriffe durchgeführt werden.
In Übereinkunft mit den entsprechenden Responsible-Disclosure-Guidelines von SAP werden detaillierte Informationen über die Schwachstelle selbst drei Monate nach Herausgabe der Patches veröffentlicht.
Weitere Details und technische Informationen finden Sie unter:
SEC Consult Blog (de)
SEC Consult Blog (engl.)
SEC Consult ist eines der führenden Beratungsunternehmen für Cyber- und Applikationssicherheit. Das Unternehmen mit Niederlassungen in Europa, Asien und Nordamerika ist Spezialist für externe und interne Sicherheitsüberprüfungen, Penetrationstests, den Aufbau von Informationssicherheits-Management und Zertifizierungsbegleitung nach ISO 27001, Cyber-Defence, sichere Software(-Entwicklung) und die schrittweise, nachhaltige Verbesserung des Sicherheitsniveaus. Zu den Kunden von SEC Consult gehören Regierungsbehörden, internationale Organisationen und führende Unternehmen aus verschiedenen Branchen der Privatwirtschaft, sowie kritische Infrastrukturen. Weitere Informationen finden Sie unter: www.sec-consult.com
SEC Consult Deutschland Unternehmensberatung GmbH
Ullsteinstraße 118
12109 Berlin
Telefon: +49 (30) 398202700
http://www.sec-consult.com
Head of Marketing
Telefon: +49 (30) 398202700
E-Mail: m.juenger@sec-consult.com
PR-Agentur: Weissenbach PR
Telefon: +49 (89) 5506-7773
E-Mail: SEC_PR@weissenbach-pr.de