Auswirkungen auf die Wirtschaft
Diese Sicherheitslücke kann von einem Angreifer ausgenutzt werden, um einen Denial-of-Service-Angriff auf SAP NetWeaver Java durchzuführen, wodurch der HTTP-Server während der Ausführung des Angriffs nicht mehr verfügbar ist.
Betroffene Komponenten – Beschreibung
Einer der wichtigsten Einstiegspunkte in allen SAP-Anwendungsservern für Java ist der HTTP-Webserver. Zu diesem Dienst gehören zahlreiche Standardkomponenten, die die von den Benutzern gesendeten und empfangenen Daten analysieren und vorverarbeiten. Da diese Komponenten an einer kritischen Stelle angesiedelt sind, sind Sicherheitslücken in ihnen besonders schwerwiegend und betreffen alle SAP-Produkte, die auf NetWeaver Java basieren.
Details zur Sicherheitslücke
SAP NetWeaver Java verfügt über eine Reihe von Standard-J2EE-Filtern, die für bestimmte Prüfungen und statistische Auswertungen bei jeder eingehenden Anfrage zuständig sind. Die Sicherheitslücke entsteht dadurch, dass einer dieser Filter Informationen über die verschiedenen vom Server empfangenen HTTP-Methoden speichert, jedoch nicht ordnungsgemäß steuert, wie viel Speicherplatz für die Speicherung dieser Informationen benötigt wird. Durch das Senden einer speziell gestalteten Anfrage kann ein Angreifer diesen Filter dazu bringen, einen „OutOfMemoryError“ auszulösen, wodurch die virtuelle Maschine abstürzt.
Lösung
SAP hat den SAP-Hinweis 3056652 veröffentlicht, der gepatchte Versionen der betroffenen Komponenten enthält.
Die Patches können unter https://launchpad.support.sap.com/#/notes/3056652 heruntergeladen werden
Onapsis empfiehlt SAP-Kunden dringend, die entsprechenden Sicherheitspatches herunterzuladen und auf die betroffenen Komponenten anzuwenden, um Geschäftsrisiken zu minimieren.
Zeitachse des Berichts
- 26.04.2021 – Onapsis übermittelt SAP detaillierte Informationen
- 29.04.2021 – SAP stellt eine Sendungsnummer zur Verfügung
- 10.05.2021 – SAP gibt Update bekannt: Sicherheitslücke wird behoben
- 12.07.2021 – SAP-Release-Patch Nr. 3056652
- 05.04.2022 – Veröffentlichung einer Mitteilung
QUELLENANGABEN
Hinweise
- Veröffentlichungsdatum: 05.04.2022
- Sicherheitshinweis-ID: ONAPSIS-2022-0002
- ID der gemeldeten Sicherheitslücke: 882
- Forscher: Gaston Traberg
Informationen zur Sicherheitslücke
- Anbieter: SAP
- Schwachstellenklasse: |LS|CWE-400|RS| Unkontrollierter Ressourcenverbrauch
- CVSS v3-Bewertung: 7,5 V:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
- Schweregrad: Hoch
- CVE: CVE-2021-33670
- Informationen zum Hersteller-Patch: SAP-Sicherheitshinweis 3056652
ÜBER UNSERE FORSCHUNGSLABORE
Onapsis Research Labs bietet Branchenanalysen zu wichtigen Sicherheitsfragen, die sich auf geschäftskritische Systeme und Anwendungen auswirken.
Onapsis Research Labs veröffentlichen regelmäßig zeitnahe Sicherheits- und Compliance-Hinweise mit entsprechenden Risikoeinstufungen und Onapsis Research Labs dabei fundiertes Fachwissen
und Erfahrung, um der breiteren Informationssicherheits-Community technisches und geschäftliches Fachwissen sowie fundiertes Sicherheitsurteilsvermögen zu vermitteln.
Alle gemeldeten Sicherheitslücken finden Sie unter https://github.com/Onapsis/vulnerability_advisories
Dieser Hinweis unterliegt einer Creative-Commons-Lizenz 4.0 BY-ND International.