Patchday: 15 Sicherheitswarnungen von SAP
Am Dezember-Patchday hat SAP 15 neue Sicherheitsmitteilungen herausgegeben. Sie thematisieren teils kritische Lücken.
(Bild: heise online)
Der Dezember-Patchday bringt bei SAP Software-Flicken für mehr als 15 Sicherheitslecks. Eine Sammelnotiz behandelt Lücken, die SAP als kritisch einstuft. Zudem gibt es vier Sicherheitsmitteilungen zu hochriskanten Schwachstellen, sieben zu Lecks mittlerem Bedrohungsgrads sowie zwei weitere, die Sicherheitslücken mit niedriger Risikoeinstufung behandeln.
Als kritisch gelten den Walldorfern mehrere Lücken in SAP Business Technology Platform (BTP) Security Services Integration Libraries, die Angreifern die Ausweitung ihrer Rechte ermöglicht (CVE-2023-49583, CVE-2023-50422, CVE-2023-50423, CVE-2023-50424, CVSS 9.1, Risiko "kritisch"). In SAP Commerce Cloud können Angreifer unzureichende Zugriffskontrollen für bösartige Zwecke missbrauchen (CVE-2023-42481, CVSS 8.1, hoch).
SAP: Hochriskante Sicherheitslücken
In der SAP BusinessObjects Business Intelligence Platform findet sich eine Cross-Site-Scripting-Lücke (CVE-2023-42478, CVSS 7.5, hoch), während die SAP GUI für Java und für Windows Unbefugten Informationen preisgeben können (CVE-2023-49580, CVSS 7.3, hoch). Im SAP Emarsys SDK für Android fehlt außerdem eine Autorisierungsprüfung (CVE-2023-6542, CVSS 7.1, hoch).
Die Sicherheitslücken mittleren Schweregrads finden sich in SAP BusinessObjects Web Intelligence, im SAP Solution Manager, in SAP Biller Direct, in SAP HCM (Smart Paye Solution), in der JSZip-Bibliothek von SAPUI5, im SAP Fiori Launchpad sowie in SAP Netweaver Application Server ABAP und ABAP Platform. Niedriges Risiko stellen weitere Lücken in SAP Master Data Governance und im SAP Cloud Connector dar.
Die Sicherheitsmitteilungen versammelt SAP auf einer eigenen Patchday-Webseite. Dort finden IT-Verantwortliche auch die Verlinkung zu den einzelnen Notizen. Darüber gelangen sie auf den ihnen bekannten Wegen an die aktualisierten Softwarepakete.
Der November-Patchday verlief für IT-Verantwortliche etwas ruhiger als der aktuelle im Dezember. Das Unternehmen hatte dort lediglich drei Sicherheitslücken mit aktualisierter Software gestopft.
(dmk)
