Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

Zugriff auf vertrauliche Daten möglich

Sicherheitsloch in Peoplesoft-Gateway

07.02.2003
MÜNCHEN (CW) - Die auf Sicherheitssoftware spezialisierte Firma Internet Security Systems (ISS) aus Atlanta, USA, hat ein Sicherheitsproblem im "Application Messaging Gateway" von Peoplesoft entdeckt. Hacker haben unter Umständen Zugriff auf sensible Dateien.

Das Application Messaging Gateway gestattet einen Web-Zugriff auf die Funktionen von Peoplesofts Personalverwaltungs-, Finanzbuchhaltungs-, CRM- und SCM-Programmen. Das Gateway ist als Java Servlet implementiert. Laut ISS sind Hacker in der Lage, auf sensible Dateien zuzugreifen, die auf dem Applikations-Server des ERP-Anbieters liegen. Dies ist möglich, wenn der Angreifer eine XML-Verbindung zum Gateway aufbaut, die XML External Entities enthält.

Betroffen seien Anwender der Peopletools 8.1x, nicht aber solche, die Peopletools 8.4x nutzen. Peopletools ist die Ablauf- und Entwicklungsumgebung des Softwareanbieters.

Dem Hersteller sind die Probleme bekannt: Anfang Februar wird mit Peopletools 8.19 eine Version zur Verfügung stehen, bei der die Schwachstelle nicht mehr auftritt. Auf seiner Website www.iss.net liefert ISS nähere Informationen zu dem Sicherheitsproblem. Dort sind auch Maßnahmen beschrieben, wie sich Peoplesoft-Installationen schützen lassen, um die Zeit bis zur Freigabe des Updates zu überbrücken und das Gefahrenpotenzial zu reduzieren.

Keine Gefahr bei SSL-Einsatz

Peoplesoft weist in einer Stellungnahme darauf hin, dass nur temporär auf dem Applikations-Server gespeicherte Dateien durch Hacker ausgespäht werden können, wobei auch dies nur möglich sei, falls der Anwender keine Authentifizierung über das Verfahren Secure Sockets Layer (SSL) eingerichtet habe. (fn)