SAP-Kunden werden nicht informiert. Es gibt auch keine OSS-Hinweise dazu (auch auf Nachfrage nicht).
Es ist immer noch unklar, ob andere Systeme als Linux angreifbar sind oder ähnliche Probleme dort lauern.
Die saposcol-Permissions werden erst auf meinen ausdrücklichen Hinweis im SAP Sicherheitsleitfaden auf »nicht ausführbar für Others« gesetzt.
SAP Support-System enthält immer noch Hinweise auf die bisher verwendeten Permissions.
SAP Mitarbeiter geben immer noch die Anweisung möglicherweise angreifbare Permissions zu setzen.
Der CVE-Eintrag wird erst nach über einem Jahr bestätigt.