Patchday SAP: Kritische Cross-Site-Scripting-Schwachstelle aus NetWeaver getilgt
SAP hat diesen Monat unter anderem eine kritische sowie sechs Schwachstellen mit hoher Risikoeinstufung aus seiner Software beseitigt.
(Bild: Shutterstock / heise online (Collage))
Wie viele andere Unternehmen veröffentlicht auch Software-Hersteller SAP monatliche Security-Updates zum Patch Tuesday. Im August beinhalten diese unter anderem eine aktualisierte Version von NetWeaver, die gegen eine kritische Cross-Site-Scripting (XSS)-Schwachstelle abgesichert ist. Hinzu kommen Updates für sechs Schwachstellen mit "High"- und für acht weitere mit "Medium"-Einstufung.
Cross-Site-Scripting via NetWeaver
Die Cross-Site-Scripting-Lücke CVE-2020-6284, die SAP im aktuellen Advisory als "Hot Topic", der internen Bezeichung für kritische Schwachstellen, gekennzeichnet hat, betrifft die SAP NetWeaver-Versionen 7.30, 7.31, 7.40 und 7.50. Der CVSS-Score liegt bei 9 von möglichen 10.
Nähere Details zu CVE-2020-6284 nennt SAPs Advisory zum August-Patchday 2020 nicht. Registrierte Kunden können weitere Informationen zu dieser und allen anderen Schwachstellen jedoch wie immer den im Advisory verlinkten Security Notes im passwortgeschützten Supportbereich entnehmen.
NetWeaver-Nutzer sollten bei dieser Gelegenheit auch einen Blick auf neu verfügbare Aktualisierungen der älteren SAP Security Note 2928635 von Juli werfen, die sich ebenfalls mit kritischen Schwachstellen in NetWeaver befassen.
Schwachstellen mit "High"-Einstufung
Die sechs Schwachstellen, von denen laut SAP ein hohes Risikoa ausgeht, betreffen SAP BusinessObjects (Versionen 4.2, 4.3), Banking Services (400, 450, 500), SAP NetWeaver (ABAP) und die ABAP Platform (700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 753, 755), die AS Java-Komponente von NetWeaver in verschiedenen Versionen (siehe CVE-2020-6309 im Advsiory bzw. Security Note #2941315) sowie Adaptive Server Enterprise in Version 16.0.
Unter anderem fehlen Authentisierungs- und Autorisierungsmechanismen; außerdem bieten die Schwachstellen Raum für Code Injection-Angriffe und ermöglichen unter bestimmten Voraussetzungen unbefugte Datei-Uploads sowie das Abgreifen sensibler Daten.
(ovw)
