Patchday: SAP behandelt vier kritische Schwachstellen
SAP liefert Updates zum Beheben von teils kritischen Sicherheitslücken in den Produkten des Herstellers. IT-Verantwortliche sollten sie rasch installieren.
(Bild: heise online)
Zum Januar-Patchday hat SAP neun neue Sicherheitsnotizen zu Schwachstellen in den Produkten des Herstellers herausgegeben. Zudem haben die Entwickler drei ältere Sicherheitsnotizen aktualisiert, die kritische Schwachstellen in der Software behandeln.
Lückenstatistik
Von den neun neuen Sicherheitsnachrichten drehen sich vier um kritische Schwachstellen. Die restlichen fünf Probleme stuft SAP als mittleres Risiko ein. Eine Übersicht liefert SAP auf der Webseite des Unternehmens.
Eine Schwachstelle des Typs SQL Injection findet sich in SAP Business Planning and Consolidation MS und könnte es einem Angreifer ermöglichen, auf Daten in der Backend-Datenbank zuzugreifen, sie zu ändern und/oder zu löschen (CVE-2023-0016, CVSS 9.9, kritisch). In der SAP BusinessObjects Business Intelligence Platform (Analysis Edition for OLAP) könnten authentifizierte Angreifer bösartigen Code über das Netz einschleusen, den die Anwendung ausführt. Dadurch ließe sich die Anwendung vollständig kompromittieren und die Vertraulichkeit, Integrität und Verfügbarkeit stark beeinträchtigen (CVE-2023-0022, CVSS 9.9, kritisch).
In SAP NetWeaver AS for Java könnten Angreifer, die vollen Lesezugriff auf Benutzerdaten haben, aufgrund unzureichender Zugriffskontrollen Änderungen an Benutzerdaten vornehmen und Dienste innerhalb des Systems unzugänglich machen (DoS) (CVE-2023-0017, CVSS 9.4, kritisch). Aufgrund einer Capture-Replay-Schwachstelle in SAP NetWeaver AS for ABAP and ABAP Platform können bösartige Nutzer unbefugten Zugriff auf das System erlangen (CVE-2023-0014, CVSS 9.0, kritisch).
Mittelschweres Risiko
Die weiteren Sicherheitslücken mittleren Schweregrads betreffen den SAP Host Agent für Windows (CVE-2023-0012, CVSS 6.4), SAP NetWeaver AS for ABAP and ABAP Platform (CVE-2023-0013, CVSS 6.1), die SAP BusinessObjects Business Intelligence Platform (Central Management Console) (CVE-2023-0018, CVSS 5.4), SAP BusinessObjects Business Intelligence (Web Intelligence) (CVE-2023-0015, CVSS 4.6) und schließlich SAP Bank Account Management (Manage Banks) (CVE-2023-0023, CVSS 4.5).
IT-Verantwortliche sollten die bereitgestellten Aktualisierungen auf den ihnen bekannten Wegen rasch herunterladen und installieren, um die Angriffsfläche für Cyberkriminelle zu reduzieren. Im Dezember vergangenen Jahres hatte SAP sogar 14 Sicherheitslücken gestopft, von denen ebenfalls vier als kritisch eingestuft wurden.
(dmk)
