Capture-Replay-Schwachstelle in SAP NetWeaver AS für ABAP und ABAP Platform
Im Rahmen der SAP Security Notes für Januar hat SAP die Security Note 3089413 mit einem CVSS v3.0 Base Score: 9,0 / 10 veröffentlicht. Dieser adressiert eine Sicherheitslücke in nahezu allen SAP ABAP Systemen, die aktiv trusted/trusting-Beziehungen verwenden. SAP NetWeaver ABAP Server und die ABAP-Plattform legen Informationen zur Systemidentität in einem uneindeutigen Format an. Damit können böswillige Nutzer:innen unrechtmäßigen Zugriff auf das System erhalten.
Dies tritt bei allen Systemen auf, die aktiv trusted/trusting-Verbindungen verwenden!
Laut dem zugehörigen SAP Wiki tritt das Problem nur in Systemen auf, die trusted/trusting-Verbindungen aktiv verwenden. Grundsätzlich sollten jedoch alle betroffenen ABAP-Systeme angepasst werden, da eine zukünftige Verwendung von trusted/trusting-Beziehungen nicht ausgeschlossen werden kann.
Wir unterstützen gerne, um zeitnah Ihr System auf die Problematik zu prüfen (Kontakt).
Die saubere Korrektur erfordert in der Regel einen SAP-Kerneltausch, ein Upgrade der SAP BASIS Komponente sowie die Migration der bestehenden trusted/trusting-Verbindungen. Da solch eine umfangreiche Korrektur unter Umständen nicht sofort realisiert werden kann, kann gegebenenfalls ein Workaround umgesetzt werden (falls gewisse Anforderungen an SAP-Kernel und BASIS Komponente erfüllt sind).