Security Advisories zu^SAP®und^Oracle®

HTTP-Request-Smuggling im SAP Web Dispatcher – Auswirkungen auf den Geschäftsbetrieb Ein nicht authentifizierter Angreifer, der Zugriff auf den P4-Port einer Java-basierten SAP-Lösung hat, könnte im Klartext gespeicherte Anmeldedaten auslesen, vom Zielsystem implementierte RFC-Funktionen ausführen oder sogar gespeicherte Verbindungen erstellen, ändern oder löschen. Infolgedessen könnte das System…

Nicht authentifizierte SQL-Injection und DoS im SeachFacade P4-Dienst – Auswirkungen auf den Geschäftsbetrieb Ein nicht authentifizierter Angreifer, der Zugriff auf den P4-Port einer Java-basierten SAP-Lösung hat, könnte beliebige Tabellen aus der Datenbank auslesen, sensible Informationen verändern und/oder einen Denial-of-Service-Angriff auf das Zielsystem auslösen. Infolgedessen könnten sensible Informationen…

Nicht authentifizierte SQL-Injection und DoS im JobBean P4-Dienst – Auswirkungen auf den Geschäftsbetrieb Ein nicht authentifizierter Angreifer, der Zugriff auf den P4-Port einer Java-basierten SAP-Lösung hat, könnte beliebige Tabellen aus der Datenbank auslesen, sensible Informationen verändern und/oder einen Denial-of-Service-Angriff auf das Zielsystem auslösen. Infolgedessen könnten sensible Informationen…

AUSWIRKUNGEN AUF DEN BETRIEB Diese XSLT-Sicherheitslücke ermöglicht es einem nicht privilegierten, authentifizierten Angreifer, einen Betriebssystembefehl als SAP-Administrator auf Betriebssystemebene (sidadm) auszuführen. Dies führt zu einer vollständigen Gefährdung der Vertraulichkeit, Integrität und Verfügbarkeit des Systems. BETROFFENE KOMPONENTEN BESCHREIBUNG SAP Enterprise Portal ist eine Web-Frontend-Komponente für SAP NetWeaver. Betroffene Komponenten: ENGINEAPI 7.10 ENGINEAPI…

Hinweis: Bitte beachten Sie, dass sich alle hier bereitgestellten Informationen ändern können, da immer wieder neue Angriffe und Umgehungsmöglichkeiten für die vorgeschlagenen Abhilfemaßnahmen entdeckt werden. Die Informationen auf dieser Seite wurden zuletzt am 27. Dezember 2021 um 10:00 Uhr EST aktualisiert. AKTUALISIERUNGEN 27.12.2021: AKTUALISIERUNGEN 17.12.2021: Einleitung Am 9. Dezember wurde eine kritische Sicherheitslücke (CVE-2021-44228) entdeckt…

Auswirkungen auf den Geschäftsbetrieb Ein böswilliger, nicht authentifizierter Benutzer könnte die fehlende Authentifizierungsprüfung bei der SAP-Java-P2P-Clusterkommunikation ausnutzen, um eine Verbindung zu den entsprechenden TCP-Ports herzustellen und verschiedene privilegierte Aktionen durchzuführen, wie zum Beispiel: Installation neuer vertrauenswürdiger SSO-Anbieter Änderung von Datenbankverbindungsparametern Zugriff auf Konfigurationsinformationen Änderung von Netzwerkkonfigurationen und möglicherweise…

Auswirkungen auf den Geschäftsbetrieb Aufgrund einer fehlenden Berechtigungsprüfung in der Komponente LM-SERVICE des SAP Solution Managers könnte ein authentifizierter Angreifer aus der Ferne privilegierte Aktionen auf dem betroffenen System ausführen, darunter auch die Ausführung von Betriebssystembefehlen. Betroffene Komponenten Beschreibung LM-SERVICE, eine Kernkomponente des SAP Solution Managers, ist von dieser Sicherheitslücke betroffen. Für…

Auswirkungen auf den Geschäftsbetrieb Durch Ausnutzen einer Code-Injection in SAP MII könnte ein authentifizierter Benutzer mit SAP-XMII-Entwicklerrechten Code (einschließlich Betriebssystembefehle) auf dem Server ausführen. Damit wäre er in der Lage, alle Aktionen auszuführen, die auch ein SAP-Administrator ausführen kann. Zu den möglichen Aktionen gehören: Zugriff auf die SAP-Datenbanken sowie das Lesen, Ändern und Löschen beliebiger…

Auswirkungen auf den Geschäftsbetrieb: Die Sicherheitslücke kann es einem Angreifer ermöglichen, Betriebssystembefehle einzuschleusen und so control vollständige control den Host zu erlangen, auf dem der CA Introscope Enterprise Manager ausgeführt wird. Der Angriff kann aus der Ferne gestartet werden und erfordert weder eine Authentifizierung noch besondere Berechtigungen. Betroffene Komponenten: Beschreibung: Der CA Introscope Enterprise Manager ist Teil von CA APM Introscope(R), einer…