Patchday: SAP beseitigt unter anderem "Ghostcat" und hardgecodete Zugangsdaten
Liquidity Management for Banking und Commerce (Datahub) bekamen Updates gegen kritische Lücken. Auch bei weiterer Software wurde an der Sicherheit geschraubt.
Zum Patchday im Juni hat der Softwarekonzern SAP zwei kritische Sicherheitslücken aus seinen Produkten beseitigt. Von weiteren vier geschlossenen Lücken ging ein hohes Risiko aus; hinzu kam eine ganze Reihe von Fixes für Sicherheitsprobleme mit "Medium"-Schweregrad.
Apache Tomcat-Lücke "Ghostcat" und feste Zugangsdaten
Details zu den Lücken hat SAP wie gewohnt in einem Advisory zum Security Patchday zusammengefasst. Demnach betrafen die beiden gefährlichsten Lücken ("Hot News" in der Übersicht) zum einen SAP Liquidity Management for Banking (Version 6.2) und zum anderen SAP Commerce und SAP Commerce Datahub (jeweils 6.7, 1808, 1811, 1905).
Aus der Software zum Liquiditätsmanagement verbannte das Unternehmen die schon Ende Februar dieses Jahres publik gewordene kritische Sicherheitslücke "Ghostcat" (CVE-2020-1938). Sie steckt in dem von Tomcat genutzten binären Kommunikationsprotokoll Apache JServ Protocol (AJP) und kann laut Eintrag in der National Vulnerability Database zum Fernzugriff auf Dateien in Webanwendungen und möglicherweise auch zur Remote Code Execution missbraucht werden. Welche Art von Angriffen in diesem spezifischen Fall möglich sind, geht aus SAPs Advisory allerdings nicht hervor.
Bei der Lücke in Commerce und Commerce Datahub (CVE-2020-6265) wiederum handelte es sich laut SAPs eher knappen Erläuterungen um Zugangsdaten, die im Programmcode fest hinterlegt waren. Angreifer könnten sich solche "hardcoded credentials" etwa mittels Reverse Engineering verschaffen und diese dann für unbefugte Zugriffe verwenden.
fdgfdfgd
"High"- und "Medium"-Lücken
Die vier Sicherheitslücken mit "High"-Einstufung betreffen SAP Commerce (Versionen 6.7, 1808, 1811, 1905; CVE-2020-6264), SAP Solution Manager (Komponente Problem Context Manager, Version 7.2; CVE-2020-6271), SAP SuccessFactors Recruitment Management (Version 2005; CVE-2020-6279) und NetWeaver AS ABAP (Versionen 00, 701, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753, 754; CVE-2020-6275).
Im Wesentlichen bestehen sie offenbar in mangelhaften Validierungs- und Authentifizierungsmechanismen und könnten somit für unbefugte Zugriffe und Aktionen missbraucht werden. Über die Lücke in SAP Commerce ist es laut Advisory möglich, unbefugt auf (nicht näher definierte) "Informationen" zuzugreifen.
Weitere Informationen zu allen geschlossenen Sicherheitslücken können registrierte Kunden dem Advisory "SAP Security Patch Day – June 2020" sowie den darin verlinkten Security Notes im passwortgeschützten Supportbereich entnehmen.
erewrew
(ovw)
