Patchday: SAP meldet 19 teils kritische Sicherheitslücken
Im April hat SAP 19 Schwachstellen in den eigenen Produkten mit Sicherheitsmeldungen bedacht. Davon stuft der Hersteller zwei als kritisch ein.
(Bild: heise online)
Der April-Patchday von SAP bringt Sicherheitsnotizen und damit Softwareupdates zum Schließen von 19 Schwachstellen in den Produkten aus Walldorf. Zwei der Lücken stufen die Entwickler als kritisch ein ("Hot News"). Eine weitere Schwachstelle stellt SAP zufolge ein hohes Risiko dar, 13 hingegen einen mittleren und drei einen niedrigen Bedrohungsgrad. Fünf ältere Sicherheitsnotizen haben die Entwickler mit neueren Informationen ausgestattet.
SAP: Kritische Schwachstellen
Eine der kritischen Sicherheitslücken findet sich im SAP Diagnostics Agent. Aufgrund einer fehlenden Authentifizierung und Eingabefilterung ermöglicht der EventLogServiceCollector einem Angreifer die Ausführung bösartiger Skripte auf allen verbundenen Windows-Diagnostics Agents. Bei erfolgreicher Ausnutzung können Angreifer die Vertraulichkeit, Integrität und Verfügbarkeit des Systems vollständig gefährden (CVE-2023-27497, CVSS 10.0, Risiko "kritisch").
Angreifer können zudem unbefugt auf Informationen in SAP BusinessObjects Business Intelligence Platform zugreifen. Konkret können sich Nutzer mit einfachen Rechten Zugriff auf die lcmbiar-Datei verschaffen und die Datei weiter entschlüsseln. Dadurch können sie Zugang zu den Passwörtern des SAP-Business-Intelligence-Benutzers erhalten und je nach den Privilegien des Nutzers Operationen durchführen, die die Anwendung vollständig kompromittieren können (CVE-2023-28765, CVSS 9.8, kritisch).
Als hohes Risiko betrachten die SAP-Entwickler eine Directoy-Traversal-Lücke in SAP Netweaver, durch die Angreifer Dateien auf den SAP-Server hochladen und überschreiben können. Zwar könnten keine Daten gelesen werden, aber sofern Angreifer aus dem Netz administrative Rechte haben, können sie kritische Betriebssystemdateien überschreiben und es so lahmlegen (CVE-2023-29186, CVSS 8.7, hoch).
Weitere Lücken finden sich in SAP Landscape Management, SapSetup, SAP Netweaver Enterprise Portal, SAP Netweaver AS for ABAP and ABAP Platform, SAP GUI for HTML, SAP CRM, SAP CRM WebClient UI, SAP NetWeaver AS Java for Deploy Service, SAP NetWeaver AS for ABAP (Business Server Pages), ABAP Platform and SAP Web Dispatcher, SAP Commerce, SAP Application Interface Framework sowie SAP HCM Fiori App My Forms.
Weitere Details verlinkt SAP in der Patchday-Übersicht. IT-Verantwortliche finden dort Näheres im SAP Launchpad und können die Aktualisierungen auf den ihnen bekannten Wegen herunterladen und anwenden. Da einige der Lücken als kritisch und hochriskant eingestuft wurden, sollten Administratoren sich damit nicht allzu viel Zeit lassen.
Im März dieses Jahres hatte SAP ebenfalls 19 Schwachstellen ausgebessert. Davon galten dem Hersteller jedoch sogar fünf als kritisches Sicherheitsrisiko.
(dmk)
