Patchday: SAP NetWeaver AS für ABAP & Java erhält viele wichtige Lücken-Fixes

SAP hat im Rahmen seines monatlichen Patchdays zahlreiche Unternehmenssoftware-Updates veröffentlicht. Im Fokus stand wie bereits im Vormonat der NetWeaver Application Server für Anwendungen in den Programmiersprachen ABAP und Java, kurz: NetWeaver AS ABAP / NetWeaver AS for JAVA. Hier wurden eine als kritisch eingestufte Sicherheitslücke sowie mehrere mit "High"-Einstufung in mehreren Versionen geschlossen. Zahlreiche weitere SAP-Produkte, darunter etwa Business One, Enable Now und die Commerce Cloud, erhielten Updates für Lücken mit "Medium"-Wertung.

Wertung nahe am maximalen CVSS-Score

Mit detaillierten Informationen zu den einzelnen Lücken hät sich SAP eher zurück: Die kritische Lücke CVE-2021-27610 (CVSS-Score 9 von 10) fußt demnach auf fehlerhaften Authentifizierungsmechanismen in den Versionen 700,701,702,731,740,750,751,752,753,754,755 und 804 von SAP NetWeaver AS ABAP und ABAP Platform. Details zu Angriffsweg und möglichen Konsequenzen eines erfolgreichen Angriffs nennt das Unternehmen allerdings nicht. Gleiches gilt für die mit "High" bewerteten NetWeaver-Lücken, denen lediglich die knappen Hinweise "Missing XML Validation" beziehungsweise "Memory Corruption vulnerability" zugeordnet sind.

Wie immer fasst SAPs Advisory zum Security Patchday sämtliche Aktualisierungen zusammen; verlinkte Security Notes liefern im geschützten Kundenbereich Zusatz- und Update-Informationen. Das Advisory weist auch auf einige aktualisierte Sicherheitshinweise aus den Vormonaten hin, auf die Anwender der betreffenden Produkte ebenfalls einen Blick werfen sollten: Unter anderem gibt es Neuigkeiten zu einer kritischen Remote Code Execution-Lücke in SAP Commerce, die im Patchday-Advisory von April 2021 thematisiert wurde.

Lesen Sie auch

Patchday: Angreifer nutzen sechs Sicherheitslücken in Windows aus

Update 09.06.21, 12:40: Inhaltliche Korrektur (CVSS-Score 9 statt 9.9 für CVE-2021-27610).

(ovw)