Patchday: SAP stopft neun zum Teil kritische Schwachstellen
Am November-Patchday dichtet SAP teils kritische Sicherheitslücken in mehreren Produkten ab. Administratoren sollten sie zügig auf den aktuellen Stand bringen.
(Bild: heise online)
Zum Patchday im November gibt SAP neun neue Sicherheitsmeldungen und zugehörige Updates heraus. Zudem aktualisiert das Unternehmen zwei ältere Warnungen. Da einige der Lücken als kritisch gelten, sollten IT-Verantwortliche rasch ein Wartungsfenster zum Installieren der bereitgestellten Aktualisierungen einplanen.
Kritische Lücken
Auch SAP hält sich wie andere große Unternehmen zunächst mit der Veröffentlichung von Details zu den Sicherheitslücken vornehm zurück. Die Entwickler geben jedoch Hinweise, die die Lücken grob beschreiben.
So führt die SAP BusinessObjects Business Intelligence Platform (Central Management Console und BI Launchpad) unter Umständen eine unsichere Deserialisierung von nicht vertrauenswürden (also in der Regel von Nutzern übergebenen) Daten durch (CVE-2022-41203, CVSS 9.9, Risiko "kritisch"). Die Risikoeinstufung legt nahe, dass Angreifer aus dem Netz die Schwachstelle leicht missbrauchen können, um Schadcode einzuschleusen und die Software zu kompromittieren.
Zudem meldet SAP mehrere Sicherheitslücken durch das mitgelieferte SQlite von SAPUI5 (CVE-2021-20223, CVE-2022-35737; CVSS 9.8, kritisch). Weitere Sicherheitslücken betreffen SAP NetWeaver Application Server ABAP und ABAP Platform (CVE-2022-41212, CVSS 8.7, hoch). Außerdem könnten Angreifer aufgrund eines Stack-basierten Pufferüberlaufs in SAP 3D Visual Enterprise Author und SAP 3D Visual Enterprise Viewer beliebigen Code einschleusen und ausführen (CVE-2022-41211, CVSS 7.0, hoch).
Weitere Schwachstellen, die SAP nur als mittleres Risiko einstuft, finden sich noch in SAP SQL Anywhere, SAP Biller Direct, SAP GUI für Windows sowie SAP NetWeaver ABAP Server und ABAP Platform.
Altlasten
Administratoren finden hinter der Anmeldeschranke zudem aktualisierte Informationen zu der kritischen Lücke aus dem Oktober, die Kontenübernahme mittels URL-Umleitungen im SAP Commerce Log-in-Formular ermöglichte. Zudem gibt es ein Update der Sicherheitsnotizen zu einer hochriskanten Lücke aus dem Juli, die die Rechteausweitung in der SAP SuccessFactors Attachment- API für Mobile Application (Android und iOS) erlaubte.
In der Patchday-Auflistung von SAP in PDF-Form verlinkt das Unternehmen auf die eigene Webseite, wo Administratoren mit ihren Zugangsdaten an nähere Informationen sowie die Aktualisierungen gelangen können. Da einige der Schwachstellen als kritisch gelten, sollten Administratoren die Aktualisierungen sehr zeitnah anwenden.
Zum Oktober-Patchday hatte SAP noch 15 Sicherheitsmeldungen zu Schwachstellen veröffentlicht. Auch da stufte der Hersteller zwei Schwachstellen als kritisch ein.
(dmk)
