Der Spezialist für die Sicherheit von Unternehmens-Software Onapsis hat fünf neue Security Advisories veröffentlicht, die Schwachstellen in SAP BusinessObjects und SAP HANA beschreiben. Drei dieser Sicherheitslücken seien besonders schwerwiegend, eine davon erlaube nicht authentifizierten Benutzern das Überschreiben geschäftswichtiger Daten. Zwei Schwachstellen haben den Angaben zufolge ein mittleres Risiko.
Abhängig davon, wie Organisationen die Plattformen SAP BusinessObjects und SAP HANA nutzen, können Cyber-Kriminelle laut Onapsis sich über die entdeckten Sicherheitslücken Zugriff auf geschäftswichtige Informationen verschaffen, zum Beispiel Kundendaten, Produktpreise, finanzielle Aussagen, Informationen über Angestellte, Lieferketten, Business Intelligence, Budgets, Planungen und Prognosen.
Drei der als „Hohes Risiko“ eingestuften Advisories zeigen den Angaben zufolge Schwachstellen auf, die in SAP BusinessObjects durch den voreingestellten CORBA Connector bedingt seien:
- Nicht autorisiertes Löschen von Audit-Informationen: Ermögliche es einem externen, nicht authentifizierten Angreifer, auf Audit-Informationen auf dem Remote-System zuzugreifen und diese zu löschen.
- Nicht autorisiertes Schreiben in die Server-Dateiablage: Ermögliche es einem externen, nicht authentifizierten Angreifer, auf sensible, auf dem Remote-System gespeicherte Geschäftsdaten zuzugreifen und diese zu überschreiben.
- Nicht autorisiertes Lesen aus der Server-Dateiablage: Ermögliche es einem externen, nicht authentifizierten Angreifer, wichtige, auf dem Remote-System gespeicherte geschäftliche Informationen abzurufen.
Zwei der als „Mittleres Risiko“ eingestuften Advisories betreffen SAP BusinessObjects und SAP HANA.
- Mehrere Reflected Cross Site Scripting-(XSS)-Sicherheitslücken in der webbasierten Entwicklungsumgebung von SAP HANA: Ermöglichen laut Onapsis einem externen, nicht authentifizierten Angreifer, den Zugriff auf und den Angriff auf andere SAP HANA-Benutzer.
- Nicht autorisierter Zugriff auf Audit-Informationen in SAP BusinessObjects über CORBA: Ermöglicht laut Onapsis einem externen, nicht authentifizierten Angreifer, den Zugriff auf und das Auslesen von Audit-Informationen – und damit den Zugang zu wichtigen Geschäftsdaten.
Die Advisories werden von Onapsis Research Labs veröffentlicht, einem Team von IT-Sicherheitsspezialisten, das technische Analysen im geschäftlichen Kontext sowie Einschätzungen der aktuellen Sicherheitslage liefert. Jede Advisory beschreibe die Relevanz einer identifizierten Sicherheitslücke im geschäftlichen Kontext. hei
Anzeige
SAP Lösungs-Guide
Über Beteiligungsmöglichkeiten informiert Sie gerne Stefan Raupach unter: 089/ 90 48 62 30 oder per E-Mail: sRaupach@isreport.de
Bestellen können Sie diese Standardreferenz telefonisch unter 089/90 48 62-0 und per E-Mail unter info@isreport.de
Als E-Paper lesen Sie den Guide unter diesem Link.
