SAP schliesst kritische Lücke für Hana und NetWeaver ein zweites Mal

SAP hat soeben eine kritische Sicherheitslücke für die SAP-Suche TREX geschlossen. Das Problem blieb fast zwei Jahre unentdeckt, wie ERPscan, ein Security-Spezialist für ERPs, mitteilt.
 
Die anfällige Komponente ist in SAP NetWeaver-Plattformen ebenso enthalten wie im neuen SAP HANA. Damit sei es eines der am weitest verbreiteten und schwersten serverseitigen Probleme bei SAP und habe einen CVSS-Score von 9,4 bei einem Maximum von 10 inne.
 
Die Lücke ist als SAP Security Note 2419592 bei SAP (Passwort für Login nötig) festgehalten. Sie wurde am 11. April am SAP-Patchday als eine von zwölf Security Notes gepatcht.
 
Ursprünglich wurde die Lücke offenbar 2015 entdeckt und im Dezember 2015 wurde die entsprechende SAP Security Note (2234226) veröffentlicht. Sie galt eigentlich als geschlossen. (mag)