Security Advisories zu^SAP®und^Oracle®

SAP EA-DFPS – Auswirkungen von Syslog-Verschmutzung auf den Geschäftsbetrieb Durch die Verschmutzung der Hauptprotokollierung des SAP-Systems könnte ein Angreifer unter anderem: böswillige Aktivitäten verbergen; das Syslog dazu bringen, seine Kapazitätsgrenze zu erreichen, woraufhin es sich selbst überschreibt, um Aktivitäten zu löschen; falsche Warnmeldungen hinzufügen, um Ablenkung zu erzeugen. Betroffene Komponenten Beschreibung Von der offiziellen SAP-Website. Aufgrund der spezifischen…

Cross-Site-Scripting-Sicherheitslücke (XSS) im SAP NetWeaver Application Server ABAP Auswirkungen auf den Geschäftsbetrieb Die Auswirkungen hängen von den Berechtigungen des Opfers ab. In den meisten Fällen ermöglicht ein erfolgreicher Angriff es einem Angreifer, eine Sitzung zu kapern oder das Opfer dazu zu zwingen, eine unerwünschte Anfrage in SAP NetWeaver ABAP auszuführen. Betroffene Komponenten Beschreibung Der SAP NetWeaver Application Server für ABAP bietet…

SAP Host Agent – sapstartsrv – Unerlaubter Speicherzugriff in MsIGetProfileValue Auswirkungen auf den Geschäftsbetrieb Aus der Ferne ausnutzbar, ohne Authentifizierung; ein Angreifer könnte einen Denial-of-Service-Angriff auf alle sapstartsrv-Dienste durchführen. Dies führt zu direkten Auswirkungen auf die Verfügbarkeit dieses Dienstes und zu erheblichen Verfügbarkeitsproblemen für das SAP-System. Betroffene Komponenten Beschreibung Der SAP Host Agent kann verschiedene Aufgaben im Lebenszyklus ausführen…

Server-Side Request Forgery in SAP NetWeaver, Platform dem SAP Host Agent – Auswirkungen auf den Geschäftsbetrieb Ein erfolgreicher Angriff kann dazu führen, dass Informationen über interne offene SAP-Ports offengelegt werden, die normalerweise nicht erreichbar sind. Betroffene Komponenten Beschreibung Der SAP NetWeaver Application Server für ABAP stellt sowohl die Laufzeitumgebung als auch die Entwicklungsumgebung für alle ABAP-Programme bereit. Der…

SAP Host Agent – Offenlegung von Anmeldedaten über Protokolldateien – Auswirkungen auf den Geschäftsbetrieb Durch Ausnutzung dieser Sicherheitslücke kann ein böswilliger Benutzer mit geringen Berechtigungen SDA-Anmeldedaten (sapadm) sowie einige technische SAP-NetWeaver-Anmeldedaten (wie FRN_DPC_SID oder FRN_CSA_SID) abrufen und diese anschließend verwenden, um sich bei SAP NetWeaver oder im SDA anzumelden und böswillige oder sensible…

Gespeichertes XSS in der Administrationsoberfläche von SAP Auswirkungen auf das Geschäft Die Auswirkungen hängen von den Berechtigungen des Opfers ab, jedoch wird der Zugriff auf den SAP Webdispatcher in der Regel Administratorbenutzern gewährt. Im schlimmsten Fall ermöglicht ein erfolgreicher Angriff es einem Angreifer, einen Administrator dazu zu zwingen, Aktionen auf dem SAP Webdispatcher auszuführen, wie beispielsweise Daten zu entwenden, Daten zu ändern oder den Webdispatcher herunterzufahren….

Willkürliche Ausführung von RFC-Funktionen über CCM_AGS_CC_SIM_API_START Auswirkungen auf den Geschäftsbetrieb Diese Sicherheitslücke ermöglicht es einem Angreifer, jede im System vorhandene Funktion auszuführen. Wenn es also beispielsweise eine Funktion gibt, mit der Dateien gelöscht oder überschrieben oder Betriebssystembefehle ausgeführt werden können, könnte dies zu einer Beeinträchtigung des Geschäftsbetriebs bis hin zu einem Denial-of-Service-Angriff führen. Betroffene Komponenten…

Reflected Cross-Site-Scripting in der Klasse CRM_BSP_FRAME Auswirkungen auf den Geschäftsbetrieb Durch Ausnutzung dieser Sicherheitslücke könnte ein Angreifer aus der Ferne Benutzer dazu verleiten, auf bösartige Links zu klicken. Je nach dem Schutzniveau des Browsers könnte der Angreifer möglicherweise Benutzersitzungen oder andere Informationen stehlen. Betroffene Komponenten Beschreibung SAP_ABA 700 SP 07-40 SAP_ABA 701…

Reflected Cross-Site-Scripting in der Klasse CL_HTTP_EXT_SERVICE_POST_DEMO Auswirkungen auf das Geschäft Durch Ausnutzung dieser Sicherheitslücke könnte ein Angreifer aus der Ferne Benutzer dazu verleiten, auf bösartige Links zu klicken. Je nach dem vom Browser gebotenen Schutzniveau könnte der Angreifer möglicherweise Benutzersitzungen oder andere Informationen stehlen. Betroffene Komponenten Beschreibung SAP_ABA 700 SP 07-40 SAP_ABA 701…