Kritische Schwachstelle in SAP’s Suchmaschine TREX

Am 11. April 2017 veröffentlichte die SAP im Rahmen des Security-Patchdays für April den Hinweis 2419592. Dort wird eine kritische Schwachstelle beschrieben, die es einem Angreifer ermöglicht, Code einzuschleusen, der anschließend von der Anwendung ausgeführt wird. Ein Angreifer kann somit das Systemverhalten der Anwendung steuern.

Mögliche Code-Injection-Leaks sind:

Unberechtigte Ausführung von Befehlen
Offenlegung von Informationen
Denial-of-Service

Durch den Patch wird eine fehlende Zugriffsteuerung implementiert, wodurch vermieden wird, dass Prozesse, die auf einer Maschine ausgeführt werden, die nicht der aktuellen TREX/BWA-Landschaft angehören, Befehle der internen Schnittstelle nutzen.

Es wird empfohlen so schnell wie möglich ein Upgrade auf ein entsprechendes Softwarelevel durchzuführen:

Bereitstehende Updates:

Upgrade auf TREX 7.10 Revision 74 oder höher,
Upgrade auf BWA 7.00 Revision 76 oder höher,
Upgrade auf BWA 7.20 Revision 40 oder höher,
Upgrade auf TREX 7.25 Revision 37 oder höher