Sicherheitslücken in SAP HANA öffnen Tür und Tor für Angreifer
In der In-Memory-Plattform HANA von SAP klaffen 21 Schwachstellen. Acht davon sind als kritisch eingestuft. Updates sind verfügbar.
SAP hat 21 Sicherheitslücken in der In-Memory-Plattform HANA geschlossen. Das geht aus einer Sicherheitswarnung von Onapsis hervor. SAP empfiehlt allen Nutzern die Updates zügig einzuspielen.
Ein Großteil der Lücken können Angreifer aus der Ferne ohne Authentifizierung ausnutzen, warnt der Chef von Onapsis Mariano Nunez. Acht Lücken gelten als besonders kritisch. Verschaffen sich Angreifer über die Schwachstellen Zugang zum System, können sie etwa Daten löschen und Abrechnungen und Informationen von Kunden kopieren.
[UPDATE 10.11.2015 16:30 Uhr]
Die Schwachstellen klaffen Onapsis zufolge unter anderem in SAP HANA Database bis Version 1.00 SPS10
und SAP HANA DB 1.00.73.00.389160 (NewDB100_REL) (HANA 1.0 SPS09). Über die Lücken können Angreifer Speicherfehler provozieren und mittels SQL-Schwachstellen eigenen Code ausführen und DoS-Attacken fahren. Onapsis und SAP zufolge soll es aktuell keine öffentlichen Exploits geben.
Sechs der acht als kritisch eingestuften Lücken lassen sich nicht patchen. Diese sollen im TrexNet-Interface zur Administration klaffen, was bei jeder HANA-Installation zum Einsatz kommt. Nutzer müssen ihre Systeme rekonfigurieren (für Beschreibung Log-in erforderlich), um sich abzusichern. Denn in der Standardeinstellung könnten Angreifer das TrexNet-Interface aus der Ferne attackieren, erläutert der Chef-Sicherheitsforscher von Onapsis Ezequiel Gutesman gegenüber Kaspersky.
Weitere Informationen finden sich in der aktuellen Sicherheitswarnung von SAP. (des)
