top of page

Kritische Sicherheitslücke im AS JAVA (CVSS 10/10)

Am 28.07.2020 hat SAP eine kritische Sicherheitslücke mit der höchsten verfügbaren Sicherheitseinstufung (Common Vulnerability Scoring System 10 von 10) im NetWeaver Application Server JAVA veröffentlicht.


Sicherheitswarnung mit Warndreieck

Was sind die Auswirkungen auf das SAP System?

Aufgrund der Sicherheitslücke kann ein Angreifer auch ohne gültige SAP Anmeldedaten, einen Benutzer mit administrativen Berechtigungen im SAP System anlegen. Der Angreifer kann somit das System vollständig übernehmen. Zudem existiert bereits ein frei erhältlicher Programmcode (Exploit) im Internet. Demzufolge kann dies sehr leicht genutzt werden, um die aufgezeigte Sicherheitslücke ohne tiefgehende technische Kenntnisse auszunutzen.


Was ist genau betroffen?

Die Sicherheitslücke betrifft die Komponente “LM Configuration Wizard” innerhalb des Application Server JAVA. Dadurch sind (bis auf wenige alte Versionen der Software) alle auf AS JAVA basierenden Produkte betroffen. Unter anderem sind dies, der SAP Solution Manager, die meisten Implementierungen von Business Warehouse (SAP BW), SAP Process Orchestration (SAP PO) bzw. Process Integration (SAP PI), das SAP Portal und eigenständige Installationen des NetWeaver Application Server JAVA.

Laut SAP wird die Komponente „LM Configuration Wizard“ lediglich von wenigen Lifecycle Szenarien (wie beispielsweise die initiale Konfiguration des Systems) genutzt. Sollte allerdings ein Patchen der Komponente kurzfristig nicht möglich sein, empfiehlt SAP als Workaround die Komponente im System temporär zu deaktivieren. Dies hat laut SAP in der Regel keine Auswirkungen auf den Systembetrieb.


Wo finde ich genauere Informationen?

Hier finden Sie den entsprechenden SAP Hinweis: 2934135 – [CVE-2020-6287] Multiple Vulnerabilities in SAP NetWeaver AS JAVA (LM Configuration Wizard)

Aufgrund der Kritikalität der Meldung und der Anzahl der Rückfragen durch Kunden hat die SAP mittlerweile auch einen weiteren FAQ (Frequently Asked Questions)-Hinweis veröffentlicht:  2948106 – FAQ – for SAP Note 2934135 – [CVE-2020-6287] Multiple Vulnerabilities in SAP NetWeaver AS JAVA (LM Configuration Wizard)


Handlungsempfehlungen

SAP empfiehlt, die oben genannte Komponente umgehend zu patchen. Falls dies kurzfristig nicht möglich ist, wird empfohlen die Komponente zu deaktivieren, bis eine Patch-Einspielung erfolgen kann. 

Benötigen Sie weitere Informationen, Hilfe bei der Analyse Ihrer Systemlandschaft oder bei der Umsetzung der Patch-Einspielung? Unsere SAP-Experten stehen Ihnen gerne zur Verfügung.  Kontaktieren Sie uns mit Ihrem Anliegen unkompliziert per Mail oder wenden Sie sich telefonisch an uns.


Ihr entplexit SAP Team

Comments


bottom of page