heise Security

Alert! SAP schließt Sicherheitslücken in Point-of-Sale-Software

Fabian A. Scherschel

(Bild: dpa, Uwe Anspach)

SAP hat zehn Sicherheitsupdates veröffentlicht. Bei zwei davon schätzt die Firma die damit verbundene Gefahr als "hoch" ein.

SAP hat an seinem monatlichen Patchday, wie bei Adobe und Microsoft der zweite Dienstag im Monat, insgesamt zehn Updates veröffentlicht. Zwei davon misst die Firma hohe Priorität bei. Am schwersten wiegen wohl Sicherheitslücken im Point of Sale Retail Xpress Server der Firma [1], welcher von vielen großen Unternehmen zur Abwicklung von Bezahlvorgängen im Einzelhandel verwendet wird. Fehler bei der Prüfung von Anmeldedaten können hier dazu führen, dass Angreifer unberechtigt Zugang zu den Systemen erhalten und Daten ändern können. SAP empfiehlt, vor allem diese Lücke schnellstmöglich zu schließen.

Die zweite Lücke, die mit einem hohen Risiko bewertet wurde, kann missbraucht werden, um den SAP Host Agent unberechtigt neu zu starten. Dieser wird von Administratoren dazu verwendet, Software, Datenbanken und Betriebssysteme von SAP zu überwachen. Das Neustarten dieses Dienstes kann dazu führen, dass Businessprozesse zum erliegen kommen und Teile der SAP-Installation blockiert werden.

Bei den Lücken mit geringerer Priorität handelt es sich um Cross-Site-Scripting-Lücken und ähnliche Schwachstellen, über die Angreifer Schadcode einschleusen und ausführen können. Außerdem wurden Schwachstellen in der Verschlüsselung der SAP Netweaver Data Orchestration Engine beseitigt und Bugs behoben, über die Angreifer unbefugt Informationen aus SAP-Software auslesen können. Details zu den einzelnen Sicherheitslücken erhalten SAP-Kunden über die Links auf der Übersichtsseite zum Juli-Patchday der Firma [2]. (fab [3])


URL dieses Artikels:
https://www.heise.de/security/meldung/SAP-schliesst-Sicherheitsluecken-in-Point-of-Sale-Software-3770849.html

Links in diesem Artikel:
  [1] https://erpscan.com/press-center/blog/sap-cyber-threat-intelligence-report-july-2017/
  [2] https://blogs.sap.com/2017/07/11/sap-security-patch-day-july-2017/
  [3] mailto:fab@heise.de