Unautorisierter Dateizugriff auf SAP R/3-Servern
In Umgebungen mit den mächtigen SAP R/3-Business-Lösungen gibt die SAP-Systemkomponente Internet Graphics Server (IGS) Dateien auf dem Server preis.
In Umgebungen mit den SAP R/3-Business-Lösungen gibt die SAP-Systemkomponente Internet Graphics Server (IGS) Dateien auf dem Server preis. Die umfangreiche Standard-Software bildet die wesentlichen wirtschaftlichen Prozesse in Unternehmen ab und wuchs in den vergangenen Jahren zu einem unüberschaubaren und schwer administrierbaren Koloss heran.
Da die SAP-Software zur Prozessabbildung in Unternehmensnetzen gedacht ist, wurde bis jetzt kein groĂźes Augenmerk auf die Sicherheit des Programmcodes gerichtet. Auch deshalb und auf Grund des starken und sehr schnellen Wachstums der SAP-Suite ist die Codebasis als unsaubere IF-THEN-ELSE-Sammlung verschrien.
Die nun entdeckte Lücke scheint den Vorwürfen Recht zu geben. Der IGS läuft auf einem minimalistischen Webserver. Das Problem liegt in der Möglichkeit, über relative Pfadangaben auf beliebige Dateien auf dem Server zuzugreifen. Das Security-Advisory von Corsair gibt ein Beispiel für eine SAP-Installation auf der HP-UX-Plattform: http://host/htdocs/../../../../../../../../../../../../etc/passwd -- diese URL in die Adresszeile des Browsers eingegeben liefert die Systemdatei des Servers mit den Passwort-Hashes an den angemeldeten Benutzer aus. Diese "Directory Traversal" genannte Attacke ist bei allen ernst zu nehmenden Webservern seit geraumer Zeit nicht mehr möglich, bei SAP gab es noch keine dementsprechenden Security-Audits.
Laut dem Advisory zeigte sich SAP nicht gerade kooperativ, als Corsair den Fehler an die Walldorfer meldete. Der von dem Unternehmen herausgegebene Patch konnte somit auch nicht auf Wirksamkeit ĂĽberprĂĽft werden. Dennoch ist betroffenen Administratoren die rasche Installation der IGS-Software in Version 6.40 Patch 11 nahezulegen.
Siehe dazu auch: (dmk)
- Security Advisory von Corsair
