Schweres Sicherheitsleck in SAP-Datenbanken

KomponentenSicherheitSicherheitsmanagementWorkspace

Symantec warnt vor einem Fehler im Webmanagement zweier SAP-Datenbankprodukte, die es Angreifern ermöglichen könnten, Kontrolle über das System zu erhalten – bei der oft unternehmenskritisch eingesetzten Software wie die von SAP sollte also schnellstmöglich ein Update erfolgen.

Wer die SAP-Datenbanken SAP-DB oder Max-DB nutzt, könnte durch einen Angriff unter Fremdkontrolle gebracht oder ausgespäht werden. Den Pufferüberlauf, den ein Angreifer über ein Leck im Webmanagement der Datenbank ausführen kann, erlaubt es laut Symantec, Code einzuschmuggeln und mit den Rechten des Webservers auszuführen.

Max-DB , die von SAP zertifizierte Open-Source-Datenbank für SAP-Systeme, wird unter anderem für die mySAP Business Suite eingesetzt. Der Fehler tritt in den MaxDB-Versionen 7.6.00.22 und früher auf, ab Version 7.6.00.32 ist der Fehler bereits behoben.

Die SAP-DB, quasi der Vorläufer des auf MySQL aufgebauten Max-DB, wird nicht mehr weiterentwickelt, also auch nicht mehr fehlerbereinigt. Symantec empfiehlt, den Webdienst abzuschalten. Wird dieser benötigt, sollte man ein Update auf Max-DB (in der neuen Version) erwägen. (mk)

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen