Kritische Lücke in SAP-Datenbank MaxDB

Die Datenbank MaxDB von SAP enthält Schwachstellen, die Angreifer aus dem Netz zum Ausführen von Schadcode ausnutzen oder lokale Nutzer zum Ausweiten ihrer Rechte im System missbrauchen können. Aktualisierte Pakete beheben die Fehler.

Der Sicherheitsdienstleister iDefense hat eine Lücke in der Komponente vserver entdeckt, die im Netz auf TCP-Port 7210 auf eingehende Verbindungen lauscht. vserver ist für die Kommunikation zwischen Server und Clients zuständig. Das Programm überprüft von Clients übergebene Werte jedoch nicht, sondern geht von deren Korrektheit aus. Dadurch können Angreifer mit manipulierten Anfragen den Heap überschreiben und eingeschleusten Code ausführen.

Eine weitere Sicherheitslücke, die iDefense in MaxDB gefunden hat, betrifft das Programm sdbstarter. Es trägt die set-uid root und lässt sich von allen Nutzern in der Gruppe sdba starten. Dabei verarbeitet es Umgebungsvariablen mit Einstellungen für die Komponenten der Datenbank – durch Manipulation dieser Variablen können lokale Anwender dem Fehlerbericht von iDefense zufolge eigenen Programmcode mit root-Rechten starten.

Die erste Lücke hat iDefense in der Version 7.6.0.37 unter Linux entdeckt, die zweite betrifft ebenfalls Version 7.6.0.37, jedoch unter Linux und Solaris. iDefense geht davon aus, dass auch ältere Versionen von den Schwachstellen betroffen sind. SAP hat die Version 7.6.03.15 der Datenbank veröffentlicht, die die Schwachstellen nicht mehr enthält. Administratoren eines MaxDB-Servers sollten ihr System zügig auf die neue Version aktualisieren und außerdem den Zugriff auf den TCP-Port 7210 mit einer Firewall auf vertrauenswürdige Rechner beschränken.

Siehe dazu auch:

• SAP MaxDB Signedness Error Heap Corruption Vulnerability, Sicherheitsmeldung von iDefense
• SAP MaxDB sdbstarter Privilege Escalation Vulnerability, Fehlermeldung von iDefense
• Download der aktualisierten Version von MaxDB

(dmk)