SAP: 13 neue Sicherheitswarnungen zum Februar-Patchday
SAP verteilt Software-Updates, die Schwachstellen aus 13 Sicherheitsmitteilungen ausbessern. Eine Lücke ist kritisch.
(Bild: heise online)
SAP geht zum Februar-Patchday Schwachstellen in 13 neuen Sicherheitsmitteilungen an. Eine davon hat die Risikoeinstufung "kritisch" erhalten. IT-Verantwortliche mit SAP-Installationen sollten die Aktualisierungen zügig herunterladen und anwenden.
Die gravierendste Sicherheitslücke ist laut SAPs Sammelmitteilung zum Patchday in SAP ABA (Application Basis) zu finden. Laut Schwachstellenbeschreibung können als Nutzer angemeldete Angreifer mit Ausführungsrechten eine verwundbare Schnittstelle missbrauchen und damit unbefugte Aktionen ausführen, etwa Daten lesen und verändern oder sogar das ganze System lahmlegen (CVE-2024-22131, CVSS 9.1, Risiko "kritisch").
Insgesamt 13 Schwachstellen in SAP-Software
Fünf weitere Sicherheitslücken erhalten die Risiko-Einstufung "hoch". In NetWeaver AS Java stopft SAP etwa eine Cross-Site-Scripting-Lücke (CVE-2024-22126, CVSS 8.8, hoch) und eine XXE-Lücke (XML External Entity) (CVE-2024-24743, CVSS 8.6, hoch), eine Cross-Site-Scripting-Lücke in SAP CRM (CVE-2024-22130, CVSS 7.6, "hoch"), eine Codeschmuggel-Schwachstelle in SAP IDES-Systemen (CVE-2024-22132, CVSS 7.4, hoch) und schließlich eine unangemessene Zertifikat-Prüfung in SAP Cloud Connector (CVE-2024-25642, CVSS 7.4, hoch).
Zudem haben die Programmierer sieben Sicherheitslücken mit mittlerem Bedrohungsgrad geschlossen. Die betreffen SAP Bank Account Management, SAP Companion, SAP Netweaver Application Server ABAP, SAP Netweaver Business Client for HTML, SAP Fiori App, SAP Master Data Governance Material und noch mal SAP CRM.
Alte Sicherheitsmeldungen hat SAP ebenfalls aktualisiert. Der mitgelieferte Chrome-Browser vom SAP Business Client schließt in aktualisierter Fassung Sicherheitslücken, außerdem gibt es Ergänzungen bei einer Datenleck-Lücke in SAP GUI für Windows und für Java aus dem Dezember. Von da stammte auch die Meldung einer Directory-Traversal-Schwachstelle in SAP Master Data Governance, die auf neuen Stand gebracht wurde.
Am Januar-Patchday hatte SAP noch zehn Sicherheitslücken in der Business-Software gestopft. Auch davon waren einige als kritisches Sicherheitsrisiko eingestuft.
(dmk)
