zurück zum Artikel

Patchday: SAP-Updates schließen Remote-Einfallstore in Business Warehouse

Olivia von Westernhagen

(Bild: heise online (Collage))

Zwei kritische Lücken ermöglichten Angriffe aus der Ferne bei niedrigen Zugriffsrechten auf BW und BW/4HANA. Zudem hat SAP noch weitere Produkte aktualisiert.

SAP hat zum Januar-Patchday gleich zwei kritische Sicherheitslücken aus seiner Business-Intelligence-Software Business Warehouse (BW) beseitigt; eine davon betrifft zusätzlich auch SAP BW/4HANA. Ein entfernter Angreifer mit niedrigen Zugriffsrechten könnte die Lücken zur vollständigen Systemkompromittierung missbrauchen, weshalb Admins zeitnah reagieren sollten. Updates stehen außerdem für SAP NetWeaver AS ABAP (Sicherheitslücke mit "High"-Einstufung) sowie für eine Reihe von Produkten bereit, die gegen diverse "Medium"- und eine "Low"-Lücke abgesichert wurden.

SAPs Advisory zum Security Patchday [1] fasst wie immer sämtliche Aktualisierungen zusammen. Die Zusammenfassung weist auch auf einige aktualisierte Sicherheitshinweise aus den Vormonaten hin, auf die Anwender der betreffenden Produkte ebenfalls einen Blick werfen sollten. Im Advisory verlinkte Security Notes liefern im geschützten Kundenbereich Zusatz- und Update-Informationen.

Nähere Informationen zu den beiden kritischen Sicherheitslücken CVE-2021-21465 und CVE-2021-21466 liefert die National Vulnerability Database (NVD). Demnach fußt via CVE-2021-21465 auf unzureichender Überprüfung [2] beziehungsweise "Bereinigung" von SQL-Befehlen durch das BW-Datenbank-Interface vor deren Ausführung. Mittels SQL Injection könne das SAP-System durch einen entfernten Angreifer mit niedrigen Zugriffsrechten letztlich vollständig übernommen werden.

SAP nennt in diesem Zusammenhang als zusätzliche CVE-ID noch CVE-2021-21468 [3] – eine "Medium"-Lücke, die ebenfalls das Datenbank-Interface betrifft und die dank fehlender Authentifizierungs-Checks das Auslesen beliebiger Tabellen ermöglichen kann.

Zum Ausnutzen der zweiten kritischen Lücke CVE-2021-21466 [4] sind laut NVD ebenfalls mindestens niedrige Zugriffsrechte erforderlich. Mittels eines bestimmten Funktionsmoduls sei aus der Ferne möglich, Code zu injizieren, um einen schädlichen ABAP-Report zu generieren. Auf diesem Umwege könnten Angreifer auf sensible Daten zugreifen oder Befehle auf dem System ausführen, mit denen sich unter anderem ein Denial-of-Service-Zustand herbeiführen ließe.

CVE-2021-21465 und die Medium-Lücke CVE-2021-21468 betreffen SAP BW in den Versionen 710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755 und 782. Via CVE-2021-21466 sind SAP BW 700, 701, 702, 711, 730, 731, 740, 750 und 782 und SAP BW4HANA 100 und 200 angreifbar. Update-Informationen sind SAPs Advisory [5] zu entnehmen.

Lesen Sie auch

(ovw [7])


URL dieses Artikels:
https://www.heise.de/-5022254

Links in diesem Artikel:
[1] https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=564760476
[2] https://nvd.nist.gov/vuln/detail/CVE-2021-21465
[3] https://nvd.nist.gov/vuln/detail/CVE-2021-21468
[4] https://nvd.nist.gov/vuln/detail/CVE-2021-21466
[5] https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=564760476
[6] https://www.heise.de/news/SAP-erweitert-Kernportfolio-will-Geschaeftsprozesse-besser-automatisieren-5002463.html
[7] mailto:ovw@heise.de