Alert!

Patchday: 18 Sicherheitsnotizen zu teils kritischen Lücken in SAP-Software

Am Mai-Patchday dichtet SAP zum Teil kritische Sicherheitslücken in der Software des Unternehmens ab. IT-Verantwortliche sollten die Updates zügig anwenden.

In Pocket speichern vorlesen Druckansicht

(Bild: heise online)

Lesezeit: 2 Min.
Von

Zum Patchday im Mai veröffentlicht SAP 18 neue Sicherheitsnotizen. Zwei davon behandeln als kritisches Risiko eingestufte Schwachstellen. IT-Verantwortliche sollten daher die bereitstehenden Aktualisierungen zügig herunterladen und installieren.

Am schwerwiegendsten stuft SAP gleich fünf Schwachstellen in der Reprise License Manager-Komponente des SAP Visual Enterprise License Managers ein (CVE-2021-44152, CVSS 9.8, Risiko "kritisch"; CVE-2021-44151, CVSS 7.5, hoch; CVE-2021-44153, CVSS 7.2, hoch; CVE-2021-44154, CVSS 7.2, hoch; CVE-2021-44155, CVSS 5.3, mittel). In SAP BusinessObjects Business Intelligence Platform können authentifizierte Angreifer mit Administratorrechten Login-Tokens beliebiger angemeldeter Nutzer über das Netzwerk abgreifen, ohne jedwede Benutzerinteraktion. Damit können sie sich als beliebige Benutzer der Plattform ausgeben und so auf Daten zugreifen und diese verändern. Sie können auch das System teilweise oder ganz unzugänglich machen (CVE-2023-28762, CVSS 9.1, kritisch).

Sieben weitere Schwachstellen erachtet das Unternehmen als hochriskant. Davon sticht eine nicht ausreichende Zugriffskontrolle beim Anwendungsstart in SAP AS Netweaver Java heraus (CVE-2023-30744, CVSS 8.2, hoch). Außerdem können Angreifer mit dem SAP IBP Add-in für Microsoft Excel ihre Rechte ausweiten (CVE-2023-29080, CVSS 8.2, hoch).

Weitere hochriskante Lücken betreffen SAP PowerDesigner (Proxy), SAP Commerce, SAP GUI für Windows, SAP Commerce (Backoffice) und SAPUI5. Sieben Sicherheitslecks mit mittlerem Risiko finden sich in SAP BusinessObjects Business Intelligence Platform, SAP CRM (WebClient UI), SAP Business Planning and Consolidation und SAP BusinessObjects Business Intelligence Platform (Central Management Service). Zwei Lücken mit niedrigem Bedrohungsgrad haben zudem SAP BusinessObjects Business Intelligence Platform und Vendor Master Hierarchy aufzuweisen.

In der Zusammenfassung der Patchday-Meldungen von SAP verlinken die Entwickler weitergehende Informationen. Administratoren finden dort auf den ihnen zugänglichen Seiten zudem die aktualisierte Software.

Im April hatte SAP 19 Sicherheitslücken am Patchday behandelt. Davon waren zwei als kritisch eingestuft.

(dmk)