SAP-Patchday: Teils kritische Lücken in Geschäftssoftware
Der Januar-Patchday von SAP behandelt teils kritische Sicherheitslücken. Zu insgesamt zehn Schwachstellen gibt es Sicherheitsnotizen.
(Bild: heise online)
Zehn Sicherheitsnotizen hat SAP zum Januar-Patchday veröffentlicht. Sie behandeln teils kritische Sicherheitslücken in der Geschäftssoftware. SAP-Administratorinnen und -Administratoren sollten daher die bereitstehenden Aktualisierungen zügig installieren.
Von den zehn neu entdeckten Lücken stufen die SAP-Entwickler zwei als kritisches Risiko (Hot News in SAP-Sprache), vier als hohes, drei als mittleres sowie eine als niedrige Bedrohung ein. Die kritischen betreffen einerseits SAP Business Application Studio, SAP Web IDE Full-Stack sowie SAP Web IDE for SAP HANA, wodurch Angreifer ihre Rechte ausweiten können (CVE-2023-49583, CVSS 9.1, Risiko "kritisch"). Zudem können bösartige Akteure ihre Rechte in SAP Edge Integration Cell ausweiten (CVE-2023-49583, CVE-2023-50422; CVSS 9.1, kritisch).
Zahlreiche betroffene Produkte
Die Lücken mit niedrigerer Risikoeinstufung betreffen SAP Application Interface Framework (File Adapter), SAP Web Dispatcher, SAP NetWeaver Application Server ABAP and ABAP Platform, Microsoft Edge Browser Extension (SAP GUI Connector for Microsoft Edge), SAP LT Replication Server, SAP S/4HANA Finance (Advanced Payment Management), SAP NetWeaver Internet Communication Manager und schließlich SAP Marketing (Contacts App).
In der Patchday-Übersicht sammeln die SAP-Entwickler die einzelnen Fehlerberichte. Sie verlinken dort zudem detailliertere Informationen zu jeder Sicherheitsnotiz. IT-Verantwortlich können sie über die ihnen bekannten Wege, nach Log-in in die SAP-Webseite, einsehen. Dort stehen schließlich auch die Software-Aktualisierungen zum Herunterladen bereit.
Der SAP-Patchday im Dezember befasste sich mit 15 Sicherheitswarnungen. Auch davon waren welche als kritisches sowie hohes Risiko eingestuft.
(dmk)
