Patchday: SAP veröffentlicht wenige, dafür aber wichtige Updates
Insgesamt sieben Schwachstellen hat SAP zum Patchday geschlossen. Zwei davon – in NetWeaver und Landscape Management – gelten allerdings als kritisch.
SAP hat Sicherheitsupdates für seine betriebswirtschaftliche Software veröffentlicht. Sie schließen sieben Schwachstellen, von denen zwei als kritisch gelten; diese erlauben Angreifern das Umgehen von Authentifizierungsmechanismen (NetWeaver, CVE-2019-0379) und leaken Informationen aus der Software (Landscape Management, CVE-2019-0380). Nutzer sollten die verfügbaren Updates zügig einspielen.
Das Risiko, das von einer dritten Schwachstelle (CVE-2019-0381) in SAP SQL Anywhere, SAP IQ und SAP Dynamic Tiering ausgeht, stuft der Hersteller als "High" ein. Laut Beschreibung kann sie unter bestimmten Voraussetzungen zum "versehentlichen" Zugriff auf Dateien außerhalb eines vom Nutzer angegebenen Pfades führen.
"Medium"-Schwachstellen und aktualisierte Informationen
Die übrigen Sicherheitslücken stecken in SAPs Customer Relationship Management (CRM), BusinessObjects BI, Financial Consolidation und im B2B-Add-On für NetWeaver. Sie ermöglichen vorwiegend Cross-Site-Scripting-Angriffe.
Zusätzlich hat SAP noch ein Update für einen Sicherheitshinweis vom vergangenen Patchday veröffentlicht (Denial-of-Service-Angriff auf SAP-Kernel und -GUIs, CVE-2019-0365).
Updates über das Support-Launchpad abrufbar
Die von den Schwachstellen mit "Critical"- und "High"-Einstufung betroffenen Software-Versionen sind laut SAPs Advisory zum Oktober-Patchday NetWeaver 1.0/2.0, Landscape Management 3.0 sowie SAP IQ 16.1, SAP SQL Anywhere 17.0 und SAP Dynamic Tiering 1.0/2.0.
Weitere Details zu den Lücken sowie Informationen zu den verfügbaren Updates finden Kunden, indem sie im Advisory auf die jeweilige Security Note klicken und sich anschließend über das Support-Launchpad in ihrem SAP-Account anmelden. (ovw)
