Self-Signed Zertifikate im SAP® Cloud Connector zugelassen

Title

Tolerating Self-Signed Certificates

Product

SAP Cloud Connector

Vulnerable Version

2.15.0 - 2.16.1 (Portable and Installer)

Fixed Version

2.16.2 (Portable and Installer)

CVE Number

CVE-2024-25642

Impact

high

Found

13.11.2023

By

Mingshuo Li (Office Munich), Fabian Hagg | SEC Consult Vulnerability Lab

SAP® Cloud Connector vertraute auf selbst-signierte X.509-Serverzertifikate für die Transportsicherheit. So konnte sich ein Angreifer als einen echten Server ausgeben, um mit dem SAP® Cloud Connector zu interagieren und somit die in dem Produkt versprochene gegenseitige Authentifizierung zu verletzen.

Zum vollständigen Security Advisory (Englisch).

EOF M. Li, F. Hagg / @2024

 

Interesse an einer Zusammenarbeit mit den Experten von SEC Consult? Senden Sie uns Ihre Bewerbung.
Möchten Sie Ihre eigene Cyber-Sicherheit mit den Experten von SEC Consult verbessern? Kontaktieren Sie unsere lokalen Büros.