SAPs Internet-Graphics-Service fĂĽhrt Schadcode aus
Der zu SAPs Webanwendungsserver gehörige Internet-Graphics-Service kann mit präparierten Paketen von Angreifern aus dem Netz abgeschossen werden oder sogar darin enthaltenen Schadcode ausführen.
Der Internet-Graphics-Service (IGS), der standardmäßig mit SAPs Webanwendungsserver installiert und aktiviert wird, kann von Angreifern zum Einbruch in das System ausgenutzt werden, meldet der Sicherheitsdienstleister Cybsec. SAP hat inzwischen Updates bereitgestellt, die die Sicherheitslücken schließen.
Der IGS verarbeitet fehlerhafte Pakete aus dem Netz nicht korrekt. Angreifer könnten mit manipulierten Paketen den Dienst zum Absturz bringen. Außerdem könnten sie den kompletten Rechner übernehmen, wenn der Dienst unter Windows läuft; auf Unix-Maschinen könnten sie immer noch volle Kontrolle über das SAP-System erhalten. Nähere Details zu den Schwachstellen will Cybsec erst in drei Monaten veröffentlichen.
Von den Fehlern betroffen sind die IGS-Versionen 6.40 mit einem Patchlevel kleiner 16 sowie 7.00 auf Patchlevel 3 und vorherigen. Administratoren von SAP-Webanwendungsservern sollten umgehend die von SAP über die üblichen Kanäle beziehbaren Updates einspielen.
Siehe dazu auch: (dmk)
- SAP Internet Graphics Service (IGS) Remote Denial of Service (PDF), Sicherheitsmeldung von Cybsec
- SAP Internet Graphics Service (IGS) Remote Buffer Overflow (PDF), Sicherheitsmeldung von Cybsec
