SAP Patchday Juni: Eine neue Security Note mit Scoring über 9.0 – wir fassen für Sie die wichtigsten Keyfacts zusammen.

SAST Ad-hoc: SAP Hot News - Top Priority NotesEine neue hochkritische Sicherheitslücke – bewertet mit dem Common Vulnerability Scoring System größer 9.0 – ist im Juni von der SAP geschlossenen worden. Patchen Sie so schnell wie möglich Ihre SAP-Systeme und beheben Sie diese Schwachstelle!

 

Die SAP hat im Juni folgende neue sehr kritische Sicherheitslücke bekanntgegeben:

Falsche Authentifizierung in SAP NetWeaver ABAP-Server und ABAP-Plattform [CVE-2021-27610]

Der SAP NetWeaver ABAP-Server und die ABAP-Plattform legen keine Informationen über interne und externe RFC-Benutzer in einem abgegrenzten und konsistenten Format an. Dies können Angreifer ausnutzen, um sich unrechtmäßigen Zugriff auf das System zu verschaffen.

Der ABAP-Server unterscheidet nicht eindeutig, ob die Kommunikation über RFC oder HTTP zwischen dem Anwendungsserver desselben SAP-Systems oder mit Servern außerhalb des Systems stattfindet. Ein Angreifer wäre somit in der Lage, Zugangsdaten aus einer internen RFC-Kommunikation zwischen Server A (RFC- oder HTTP-Client) und Server B (der den Request bedient) desselben Systems zu stehlen. Mit den gestohlenen Zugangsdaten kann er eine eigene RFC- oder HTTP-Kommunikation zwischen dem neuen externen Programm C und dem Server A erstellen, indem er vorgibt, interner Aufrufer an Server A zu sein.

Die Gefährdung eines solchen Angriffs lässt sich reduzieren, indem Sie den Zugriff aus externen Netzwerkquellen für die RFC- und HTTP-Kommunikation in der Netzwerkschutzlösung entsprechend einschränken.

Um das Risiko abzustellen, ist ein Kernel-Patch notwendig.

Quelle: https://launchpad.support.sap.com/#/notes/3007182

 

Weitere hochkritische Schwachstellen:

SAP Patchday März: 3 Security Notes mit Scoring über 9.0 – wir fassen für Sie die wichtigsten Keyfacts zusammen

SAP schließt drei hochkritische Sicherheitslücken zum Dezember Patchday. Handeln Sie umgehend!