SAP-Patchday: Zehn Sicherheitsmitteilungen im April
Insgesamt zehn Sicherheitsnotizen gibt SAP am April-Patchday heraus. Drei der behandelten Lücken gelten als hochriskant.
Es gibt Sicherheitslücken in SAP-Produkten.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
SAP warnt vor Sicherheitslücken in diversen Produkten aus dem Software-Portfolio des Hauses. In insgesamt zehn neuen Sicherheitsnotizen behandeln die Programmierer die Schwachstellen und stellen etwa temporäre Gegenmaßnahmen vor und verlinken Software-Updates.
Auf der Übersichtsseite zum April-Patchday listet SAP die einzelnen Sicherheitslecks auf. Drei gelten demnach als hochriskant, während weitere sieben als mittlerer Bedrohungsgrad eingestuft wurden. Zudem gibt es Aktualisierungen von zwei älteren Sicherheitsnotizen.
SAP: Drei Schwachstellen mit hohem Risiko
Die SAP NetWeaver AS Java User Management Engine setzt keine ausreichenden Sicherheitsanforderungen für Inhalte der neu definierten Sicherheitsantwort beim Ändern des eigenen Profils oder der Selbstregistrierung durch. Angreifer können da ansetzen und "tiefgreifende Auswirkung auf die Vertraulichkeit und geringe Auswirkungen Integrität und Verfügbarkeit" haben. Wie ein Angriff aussehen könnte, erläutert der CVE-Eintrag jedoch nicht (CVE-2024-27899, CVSS 8.8, Risiko "hoch").
Das SAP BusinessObject Business Intelligence Launch Pad erlaubt authentifizierten Angreifern, mit manipulierten Dokumenten auf Betriebssysteminformationen zuzugreifen (CVE-2024-25646, CVSS 7.7, hoch). Auch eine Directory-Traversal-Lücke in SAP Asset Accounting stellt eine "erhebliche" Bedrohung der Vertraulichkeit, Integrität und Verfügbarkeit für die Anwendung dar (CVE-2024-27901, CVSS 7.2, hoch).
Die weiteren Sicherheitslüken mit mittlerem Schweregrad finden sich in der SAP Integration Suite, SAP NetWeaver AS ABAP und ABAP Platform, SAP Group Reporting Data Collection, SAP NetWeaver, SAP Business Connector und SAP S/4 HANA. IT-Verantwortliche mit SAP-Software sollten prüfen, ob die bei ihnen eingesetzten Systeme verwundbar sind und die verfügbaren Aktualisierungen zeitnah herunterladen und anwenden.
Am März-Patchday hatte SAP ebenfalls zehn neue Sicherheitsmitteilungen herausgegeben. Bei den darin behandelten Sicherheitslücken galten zwei sogar als kritisches Risiko.
(dmk)
