Patchday: SAP schließt 19 teils kritische Sicherheitslücken
Zum März-Patchday hat SAP Sicherheitsnotizen zu 19 Sicherheitslücken veröffentlicht. Davon stuft der Hersteller fünf als kritisch ein. Updates stehen bereit.
Zum Patchday im März hat SAP Sicherheitsmeldungen zu 19 Schwachstellen in den diversen Produkten des Unternehmens veröffentlicht. Ungewöhnlich: Dieses Mal haben die Software-Entwickler keine Sicherheitsnotizen aus vorherigen Patchday-Meldungen mit neuen Informationen aktualisiert.
SAP: Mehrere kritische sicherheitsrelevante Fehler
Von den insgesamt 19 Sicherheitslücken schätzen die Entwickler des Unternehmens fünf als kritisch ein. Weitere vier Lücken stellen demnach ein hohes Risiko, zehn Lecks hingegen einen mittleren Bedrohungsgrad dar. Auf der Patchday-Seite von SAP listet das Unternehmen eine Übersicht der Schwachstellen auf und verlinkt weitere Seiten mit Details zu den Lücken.
In die SAP Business Objects Business Intelligence Platform (CMC) könnten aufgrund einer Lücke Code einschleusen und mit privilegierten Rechten ausführen (CVE-2023-25616, CVSS 9.9, Risiko "kritisch"). Unzureichende Authentifizierungsprüfungen in SAP NetWeaver AS for Java ermöglichten Angreifern Zugriffe ohne vorherige Anmeldung (CVE-2023-23857, CVSS 9.9, kritisch). Durch eine Directtory-Traversal-Lücke hätten Angreifer beliebige Dateien auf verwundbare SAP NetWeaver AS für ABAP-und-ABAP-Systeme schreiben können (CVE-2023-27269, CVSS 9.6, kritisch).
Eine ähnliche Lücke im SAPRSBRO-Programm von SAP ERP und S4HANA erlaubte bösartigen Akteuren, Systemdateien zu überschreiben (CVE-2023-27500, CVSS 9.6, kritisch). Eine Lücke in SAP Business Objects Business Intelligence Platform (Adaptive Job Server) ermöglichte angemeldeten Nutzern, aus der Ferne Unix-Befehle auszuführen (CVE-2023-25617, CVSS 9.0, kritisch).
Lücken mit hohem und mittlerem Risiko
Die hochriskanten Schwachstellen finden sich in SAP Solution Manager und ABAP Managed Systems (ST-PI) (CVE-2023-27893, CVSS 8.8, hoch), SAP NetWeaver AS für ABAP und ABAP Platform (CVE-2023-27501, CVSS 8.7, hoch; CVE-2023-26459, CVSS 7.4, hoch), SAPOSCOL (CVE-2023-27498, CVSS 7.2, hoch). Sicherheitslücken, die den Entwicklern zufolge ein mittleres Risiko darstellen, betreffen hingegen SAP NetWeaver(SAP Enterprise Portal), ABAP Platform, SAP NetWeaver AS für ABAP und ABAP Platform, SAP BusinessObjects Business Intelligence Platform, SAP Content Server, SAP Authenticator für Android, SAP NetWeaver, SAP NetWeaver AS Java (Object Analyzing Service), SAP NetWeaver AS für Java (Cache Management Service) sowie SAP NetWeaver AS Java (Classload Service).
Die bereitstehenden Aktualisierungen erhalten IT-Verantwortliche auf den ihnen bekannten Wegen mit ihrem SAP-Log-in. Sie sollten sie zügig herunterladen und installieren, um die Angriffsfläche für Cyberkriminelle zu reduzieren. Zum Februar-Patchday hatte SAP 21 Schwachstellen behandelt und Updates zum Abdichten der Lecks veröffentlicht.
(dmk)