Angriff 1: Betriebssystem - der Fix und der Weg dahin Angriff 2: Oracle-Datenbank - SAP Start
Angriff 1: Konsequenzen?
LUG Kassel [Logo]

  • SAP-Kunden werden nicht informiert. Es gibt auch keine OSS-Hinweise dazu (auch auf Nachfrage nicht).

  • Es ist immer noch unklar, ob andere Systeme als Linux angreifbar sind oder ähnliche Probleme dort lauern.

  • Die saposcol-Permissions werden erst auf meinen ausdrücklichen Hinweis im SAP Sicherheitsleitfaden auf »nicht ausführbar für Others« gesetzt.

  • SAP Support-System enthält immer noch Hinweise auf die bisher verwendeten Permissions.

  • SAP Mitarbeiter geben immer noch die Anweisung möglicherweise angreifbare Permissions zu setzen.

  • Der CVE-Eintrag wird erst nach über einem Jahr bestätigt.


Copyright © 2002 Jochen Hein, http://www.jochen.org/9