Web

 

Experten warnen vor Sicherheitslücke in SAP-Systemen

26.07.2005

MÜNCHEN (COMPUTERWOCHE) - Sicherheitsexperten haben vor Problemen mit dem Internet Graphics Server (IGS) in SAPs R/3-Systemen gewarnt. Ein Fehler erlaube unbefugten Zugriff auf Daten des jeweiligen Servers, auf dem die besagte Software laufe, erläutert Martin O'Neal vom britischen Sicherheitsexperten Corsaire. Die IGS-Komponente biete Web-Server-Funktionen, ohne jedoch die passierenden Daten zu prüfen. Davon betroffen seien jedoch nur Systeme älter dem Status 6.40 Patch 11. Anwendern mit älteren Versionen empfiehlt O'Neal, den entsprechenden Bugfix einzuspielen, um ihre SAP-Systeme abzusichern.

Der Brite hat die Sicherheitslücke nach eigenen Angaben bereits Anfang Mai dieses Jahres entdeckt und daraufhin am 11. Mai SAP darüber informiert. Allerdings habe es die deutsche Softwareschmiede abgelehnt, Informationen über das Sicherheitsproblem zu teilen, berichtet O'Neal. Die SAP-Verantwortlichen hätten darauf verwiesen, dass es laut internen Regeln nur gestattet sei, die eigenen Kunden darüber zu informieren. "Es ist immer wieder ein Vergnügen, in einen konstruktiven Dialog mit einem professionell agierenden Anbieter zu treten", beschreibt der Brite bissig den Kontakt nach Walldorf.

Über die Einordnung der Sicherheitslücke herrscht unter den Experten keine Einigkeit. Während der britische Sicherheitsbeobachter Secunia den Bug als bedingt kritisch einstuft, warnt das U.K. National Infrastructure Security Coordination Centre (NISCC) vor einem hohen Sicherheitsrisiko. (ba)