Patchday: SAP verteilt Updates gegen mehrere kritische Lücken
Zum April-Patchday ging es vier Sicherheitsproblemen mit "Critical"-Einstufung an den Kragen. Hinzu kommen weitere Security Updates für diverse Produkte.
Insgesamt vier Sicherheitslücken hat SAP in einem zum "Patch Tuesday" erschienenen Advisory als "Hot News" – und damit als kritisch – gekennzeichnet. Frisch veröffentlichte Updates beseitigen diese und weitere Lücken, von denen vier die Einstufung "High" und zehn die Einstufung "Medium" erhielten. Anwender sollten die verfügbaren Aktualisierungen zeitnah einspielen.
Details zu den Sicherheitslücken
Die kritischen Lücken stecken in SAP Application Server ABAP (Versionen 2008_1_46C, 2008_1_620, 2008_1_640, 2008_1_700, 2008_1_710, 740), in der Business Objects Business Intelligence Platform (1.0, 2.0, 2.x ) sowie im "Cockpit" und der Backup Server-Komponente von SAP Adaptive Server Enterprise (jeweils in Version 16.0).
Entfernte Angreifer könnten die Sicherheitslücken missbrauchen, um Code ins ABAP-System zu schleusen, der später von der Anwendung ausgeführt wird (CVE-2020-6262), um sich unter bestimmten Voraussetzungen ohne Passwort an der Management-Konsole der BI-Plattform anzumelden (CVE-2020-6242), um beliebigen Code im Kontext von Adaptive Server Enterprise auszuführen (CVE-2020-6248) oder, sofern Zugriff auf das lokale Netzwerk besteht, auf sensible Daten aus Adaptive Server Enterprise zuzugreifen (CVE-2020-6252).
Drei der Sicherheitslücken mit "HIgh"-Einstufung betreffen ebenfalls SAP Adaptive Server Enterprise (Versionen 15.7 /16.0; CVE-2020-6241, CVE-2020-6243, CVE-2020-6253). Eine weitere betrifft SAP Master Data Governance (Versionen S4CORE 101, S4FND 102, 103, 104 sowie SAP_BS_FND 748; CVE-2020-6249). SQL- und (Remote) Code Injection (nebst späterer Ausführung) wären hier mögliche Folgen eines erfolgreichen Angriffs.
Weitere Informationen und verfügbare Updates
Sämtliche Details zu Sicherheitslücken, betroffenen Software-Versionen und verfügbaren Updates sind dem Advisory "SAP Security Patch Day – May 2020" sowie den darin verlinkten Security Notes im passwortgeschützten Supportbereich zu entnehmen.
Angesichts der zahlreichen weiteren Sicherheitsprobleme mittleren Schweregrads sollten auch Nutzer anderer SAP-Produkte einen schnellen Blick auf das Advisory werfen. Es führt zudem auch noch einige wichtige Aktualisierungen zu Security Notes vergangener Patchdays auf. (ovw)
