Suchen

HANA, BusinessObjects und NetWeaver Business Warehouse betroffen Onapsis warnt vor Sicherheitslücken in SAP-Anwendungen

| Autor / Redakteur: Martin Hensel / Nico Litzel

Der Spezialist für SAP-Sicherheitslösungen Onapsis warnt vor insgesamt sieben neu entdeckten Schwachstellen in SAP-Unternehmensanwendungen, darunter eine kritische Lücke in HANA.

Firma zum Thema

Onapsis warnt vor sieben neu entdeckten Schwachstellen in SAP-Unternehmensanwendungen.
Onapsis warnt vor sieben neu entdeckten Schwachstellen in SAP-Unternehmensanwendungen.
(Bild: © mimadeo - Fotolia.com)

Betroffen sind SAP HANA, BusinessObjects und NetWeaver Business Warehouse. Bei HANA handelt es sich um eine besonders riskante „Command Injection”-Anfälligkeit, die das Ausführen unberechtigter Befehle und damit das Kompromittieren ganzer Systeme ermöglicht.

Eine Denial-of-Service-Schwachstelle in BusinessObjects nutzt den COBRA-Standard aus und kann zum nichtautorisierten Herunterfahren einer entsprechenden Anwendung genutzt werden. Ebenfalls anfällig ist die BusinessObjects-Funktion „Send to inbox“, bei der eine Cross-Site-Scripting-Lücke gefunden wurde. Sie ermöglicht die unautorisierte Modifikation von angezeigten Inhalten sowie den Zugriff auf Authentifzierungsdaten von Anwendern.

Eine weitere Lücke betrifft wiederholte InStore-Abfragen, die eine ansonsten notwendige Autorisierung umgehen. In NetWeaver Business Warehouse fand Onapsis zudem eine fehlende Autorisierungsabfrage, die von authentifzierten Angreifern genutzt werden kann. Eine detaillierte Liste aller aktuellen Sicherheitslücken stellt Onapsis auf seiner Homepage bereit.

(ID:42980565)