HANA, BusinessObjects und NetWeaver Business Warehouse betroffen

Onapsis warnt vor Sicherheitslücken in SAP-Anwendungen

| Autor / Redakteur: Martin Hensel / Nico Litzel

Onapsis warnt vor sieben neu entdeckten Schwachstellen in SAP-Unternehmensanwendungen.
Onapsis warnt vor sieben neu entdeckten Schwachstellen in SAP-Unternehmensanwendungen. (Bild: © mimadeo - Fotolia.com)

Der Spezialist für SAP-Sicherheitslösungen Onapsis warnt vor insgesamt sieben neu entdeckten Schwachstellen in SAP-Unternehmensanwendungen, darunter eine kritische Lücke in HANA.

Betroffen sind SAP HANA, BusinessObjects und NetWeaver Business Warehouse. Bei HANA handelt es sich um eine besonders riskante „Command Injection”-Schwachstelle, die das Ausführen unberechtigter Befehle und damit das Kompromittieren ganzer Systeme ermöglicht. Eine Denial-of-Service-Schwachstelle in BusinessObjects nutzt den COBRA-Standard aus und kann zum nichtautorisierten Herunterfahren einer entsprechenden Anwendung genutzt werden.

Weitere Schwachstellen

Ebenfalls betroffen ist die BusinessObjects-Funktion „Send to inbox“, bei der eine Cross-Site-Scripting-Lücke gefunden wurde. Sie ermöglicht die unautorisierte Modifikation von angezeigten Inhalten sowie den Zugriff auf Authentifzierungsdaten von Anwendern. Eine weitere Lücke betrifft wiederholte InStore-Abfragen, die eine ansonsten notwendige Autorisierung umgehen. In NetWeaver Business Warehouse fand Onapsis zudem eine fehlende Autorisierungsabfrage, die von authentifzierten Angreifern genutzt werden kann. Eine detaillierte Liste aller aktuellen Sicherheitslücken stellt Onapsis auf seiner Homepage bereit.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 42979626 / Recht & Sicherheit)