SAP schließt kritische Lücke in der Search Engine TREX
TREX ist in über einem Dutzend SAP-Produkten verbaut und erlaubte fast zwei Jahre das Einschleusen und Ausführen von Code. Diese und 14 weitere Lücken schließt der Hersteller im Rahmen des April-Patchdays.
Über spezielle Anfragen an TREX kann ein Angreifer eigenen Code einschleusen, zur Ausführung bringen und so letztlich die volle Kontrolle über den betroffenen Server übernehmen. TREX ist Bestandteil von SAP HANA, der alten SAP Netweaver-Plattform und einem Dutzend weiterer SAP-Produkte. Kein Wunder, dass die in der SAP Security Note 2419592 als "Hot News" behandelte Schwachstelle CVE-2017-7691 einen CVSS-Score von 9,4 von maximal 10 bekommt.
Entdeckt hat die TREX-Probleme Mathieu Geli von ERPScan, der das interne TREXnet-Protokoll untersuchte und bereits 2015 feststellte, dass die Kommunikation keine Authentifizierung erforderte. Das im Dezember 2015 veröffentlichte Update beseitigte diese Problem offenbar nicht vollständig. Bei einer neuerlichen Analyse konnte Geli die Lücke immer noch ausnutzen.
SAP bessert nach
Darüber hinaus musste SAP auch das März-Update für SAP-GUI und das Februar-Update zu einem Fehler der Speicherverwaltung in SAP 3D Visual Enterprise überarbeiten. Die Dringlichkeit beider Updates stuft der Hersteller als "hoch" ein; genauso wie zwei weitere Lücken in Web Dynpro Flash Island und SAPLPD.
Die insgesamt 15 Security-Advisories sind nur mit einem Support-Account zugänglich. Den kompletten Überblick zum April-Patchday bei SAP inklusive der Links gibt ein kurzes Blog-Posting des Herstellers. (ju)
