Patchday: SAP-Updates versperren Angriffswege über teils kritische Lücken
Neben einer NetWeaver-Schwachstelle mit dem CVSS-"Highscore" 10 hat SAP zum Patchday noch zahlreiche weitere Sicherheitsprobleme aus seinen Produkten entfernt.
Softwarehersteller SAP hat zum Patchday insgesamt drei kritische Schwachstellen aus NetWeaver Application Server for Java, aus der BusinessObjects BI-Plattform und aus Business Warehouse entfernt. Zudem beseitigen Aktualisierungen für den SAP Solution Manager, NetWeaver AS ABAP und SAP S4 HANA zwei Schwachstellen mit "High"-Einstufung.
Fixes für fünf "Medium"- und eine "Low"-Lücke sowie Aktualisierungen für Sicherheitshinweise früherer Patchdays vervollständigen die Sicherheitsupdate-Veröffentlichungen für Dezember. SAPs Advisory zum Security Patchday fasst wie immer sämtliche Aktualisierungen zusammen.
Überblick über die kritischen Lücken
Bei den drei als kritisch (SAP-interne Bezeichnung "Hot News") bewerteten Lücken handelt es sich um fehlende Authentifizierungsüberprüfungen und XML-Validierungsmechanismen sowie um die Möglichkeit einer Code Injection. Im Einzelnen betreffen sie folgende Software-Versionen:
- CVE-2020-26829 (CVSS 10): NetWeaver AS JAVA (P2P Cluster Communication) 7.11, 7.20, 7.30, 7.31, 7.40, 7.50
- CVE-2020-26831 (CVSS 9.6): SAP BusinessObjects BI (Crystal Report) 4.1, 4.2, 4.3
- CVE-2020-26838 (CVSS 9.1): SAP Business Warehouse 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 782; SAP BW4HANA 100, 200
Weitere Informationen, auch zu verfügbaren Updates, sind SAPs Advisory und den darin verlinkten Security Notes im passwortgeschützten Supportbereich entnehmen.
(ovw)