Patchday: SAP warnt vor 16 Sicherheitslücken in der Business-Software
Am Juli-Patchday hat SAP 16 Sicherheitsmeldungen zur Geschäfts-Software aus dem Unternehmen veröffentlicht. Updates dichten auch eine kritische Lücke ab.
(Bild: heise online)
Zum Juli-Patchday hat SAP 16 Sicherheitsmeldungen veröffentlicht. Eine der Lücken gilt demnach als kritisches Risiko. IT-Verantwortliche sollten die Aktualisierungen zügig anwenden.
Von den 16 Sicherheitsmeldungen behandelt eine eine kritische Lücke, sechs hochriskante Lecks, und neun Meldungen behandeln Schwachstellen mittleren Bedrohungsgrads. Zudem aktualisiert der Hersteller etwa den mitgelieferten Google Chrome-Webbrowser, der eine kritische Lücke enthielt, sowie eine Sicherheitsnotiz zu einer hochriskanten Schwachstelle in SAP UI5 Variant Management, die bereits im Juni mit einem Patch bedacht wurde.
SAP-Update gegen kritische Sicherheitslücke
In SAP ECC und SAP S/4HANA (IS-OIL) können angemeldete Angreifer mit einem ungeschützten Parameter in einer standardmäßig installierten Erweiterung Befehle einschleusen, die im unterliegenden Betriebssystem ausgeführt werden. Dadurch können sie System-Daten lesen, verändern oder das System herunterfahren (CVE-2023-36922, CVSS 9.1, Risiko "kritisch").
In SAP Netweaver (BI CONT ADD ON) können nicht-administrative Nutzer eine Directory-Traversal-Lücke missbrauchen, um Systemdateien zu überschreiben und so das System kompromittieren (CVE-2023-33989, CVSS 8.7, hoch). Der SAP Web Dispatcher enthält eine Lücke, die nicht authentifizierte Angreifer mit mehreren manipulierten Anfragen aus dem Netz an Front-End-Server missbrauchen können, um eigenen Code auf Back-End-Server zu schleusen und dort Informationen lesen, verändern oder den Server temporär außer Gefecht setzen (CVE-2023-33987, CVSS 8.6, hoch).
Außerdem gibt es eine Denial-of-Service-Lücke in SAP SQL Anywhere (CVE-2023-33990, CVSS 7.8, hoch), eine mögliche Speicherverletzung im SAP Web Dispatcher (CVE-2023-35871, CVSS 7.7, hoch), eine Server-Side-Request-Forgery Lücke, die Angreifer ohne Anmeldung aus dem Netz im SAP Solution Manager (Diagnostic Agent) missbrauchen können (CVE-2023-36925, CVSS 7.2, hoch) und zusätzlich eine mögliche Header-Injection-Schwachstelle ebenfalls im SAP Solution Manager (Diagnostic Agent) (CVE-2023-36921, CVSS 7.2, hoch).
Die Bedrohungen mittleren Schweregrads betreffen SAP NetWeaver Process Integration (Message Display Tool), SAP S/4HANA (Manage Journal Entry Template), SAP Enable Now, SAP NetWeaver AS ABAP und ABAP Platform, SAP BusinessObjects BI Platform (Enterprise), SAP NetWeaver AS for Java (Log Viewer), SAP ERP Defense Forces and Public Security sowie SAP Business Warehouse and SAP BW/4HANA.
Weitere Details und Verlinkungen auf die einzelnen Sicherheitsnotizen liefert die Patchday-Meldung von SAP. Am Juni-Patchday hat das Walldorfer Unternehmen acht neue Sicherheitslücken in der Business-Software geschlossen. Einige wurden als hochriskant eingestuft.
(dmk)
