Newsletter heise-Bot heise-Bot

SAPs Web Application Server anfällig für Cross-Site-Scripting

Der Sicherheitsdienstleister Cybsec meldet mehrere Cross-Site-Scripting-Lücken in SAPs Web Application Server, die unter anderem für Phishing-Angriffe ausnutzbar sein sollen.

In Pocket speichern vorlesen Druckansicht 25 Kommentare lesen
Lesezeit: 2 Min.
Von

Der Sicherheitsdienstleister Cybsec meldet mehrere Cross-Site-Scripting-Lücken in SAPs Web Application Server (WAS). Für die Fehler zeichnet die BSP-Runtime verantwortlich, die zur Darstellung von Dialogen in Web-Anwendungen dient. Durch die Fehler sind den Sicherheitsmeldungen Cybsecs zufolge HTTP-Response-Splitting, Phishing-Angriffe sowie das Einschleusen von JavaScript möglich.

Die Lücke, die ein HTTP-Response-Splitting zulässt, wird durch einen an die SAP-Exit-URL angehängten Parameter der Form %0a%0dHeader:+Wert sichtbar – die Zeichenkette wird als neuer Header interpretiert. Hierdurch lassen sich Anwendern fremde Seiten unterschieben. Die SAP-Exit-URL ließe sich laut Cybsec auch für Phishing-Angriffe nutzen, indem ein Angreifer ihr eine URL in der Form http%3a%2f%2f anhängt, also http:// in codierter Form. Wenn ein derartig präparierter Link in einer E-Mail angeklickt wird, wird das Opfer auf die angehängte Seite umgeleitet. Dies geschieht auch, wenn der Nutzer gar nicht am SAP WAS angemeldet war. In der Sicherheitsmeldung ist folgende Beispiel-URL aufgeführt: http://sap-was/sap/bc/BSp/sap/menu/frameset.htm? sap--sessioncmd=close&sapexiturl= http%3a%2f%2fwww.attacker.com

Weitere Cross-Site-Scripting-Lücken sollen sich in den Fehlerseiten, dem syscmd-Parameter und in einer BSP-Testanwendung finden. Folgende URLs demonstrieren die Fehler: http://sap-was/sap/bc/BSp/sap/index.html%3C script%3Ealert('xss')%3C/script%3E

http://sap-was/sap/bc/BSp/sap/menu/frameset.htm? sap-sessioncmd=open&sap-syscmd=%3C script%3Ealert('xss')%3C/script%3E

Betroffen von den Lücken sind die SAP Web Application Server in den Versionen 6.10, 6.20, 6.40 und 7.00. Das Walldorfer Vorzeigeunternehmen stellt für die betroffenen Server Patches zur Verfügung.

Siehe dazu auch:

(dmk)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot