Die SAP SE hat am 13. Juli 2020 EST ein Sicherheitsupdate zur Behebung einer kritischen Sicherheitslücke, CVE-2020-6286 und CVE-2020-6287 mit einem Topscore 10 von 10 veröffentlicht.  Dabei führt der SAP NetWeaver AS JAVA keine Authentifizierungsprüfung durch. Einem Angreifer wird somit ermöglicht, volle Kontrolle über das SAP Java-System zu erhalten. Auch der BSI weist in einem Schreiben vom 14.07.2020 auf diese Schwachstelle hin.

Ein nicht authentifizierter Angreifer kann diese Schwachstelle über das Hypertext Transfer Protocol (HTTP) ausnutzen, um die Kontrolle über vertrauenswürdige SAP-Anwendungen zu übernehmen. Die SAP NetWeaver AS JAVA (LM-Konfigurationsassistent), Versionen – 7.30, 7.31, 7.40, 7.50, führen keine Authentifizierungsprüfung durch.

Mehr Informationen gibt es im zugehörigen Hinweis der SAP 2934135.

Auf Grund dieser zuvor aufgezeigten Tatsache, war ein zeitnahes Handeln für unseren Kunden notwendig. Da in der aktuellen Zeit durch Covid-19 und die daraus entstehenden Folgen wie Urlaubs-/Überstundenabbau oder auch allgemein aktuell keine internen Kapazitäten verfügbar waren, wurde das BasisTeam beauftragt diese Security Patches an allen Kundensystemen durchzuführen.

Fühlen Sie sich sicher? Haben Sie die Patches schon durchgeführt? Wenn Sie Unterstützung benötigen, dann nehmen Sie gern mit uns Kontakt auf.