Alert!

SAP liefert am Patchday Sicherheitskorrekturen für zwei hochriskante Lücken

SAP warnt zum Juni-Patchday vor zehn neuen Sicherheitslücken. Aktualisierungen zum Abdichten der Lecks stehen bereit.

In Pocket speichern vorlesen Druckansicht 2 Kommentare lesen
Stilisiertes Bild: Laptop mit SAP-Logo brennt, vor Serverracks

Es gibt Sicherheitslücken in SAP-Produkten.

(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)

Lesezeit: 2 Min.
Von

Sicherheitsnotizen zu zehn neu entdeckten Sicherheitslücken hat SAP am Juni-Patchday herausgegeben. Zwei davon betreffen Schwachstellen, die die Risikoeinstufung "hoch" erhalten haben.

Am schwerwiegendsten ist laut SAP ein Leck in SAP Financial Consolidation. Angreifer können Daten aus nicht vertrauenswürdigen Quellen in eine Web-App schleusen. Da die Endpunkte im Netzwerk zugreifbar sind, können Nutzer die Inhalte durch die Webseite verändern. Die Auswirkungen auf die Vertraulichkeit und Integrität seien signifikant (CVE-2024-37177, CVSS 8.1, Risiko "hoch"). Zudem können bösartige Akteure in SAP NetWeaver AS Java einen Denial-of-Service provozieren, wodurch legitime Nutzer nicht mehr darauf zugreifen können (CVE-2024-34688, CVSS 7.5, hoch).

Weiterhin finden sich Schwachstellen mit einer mittleren Risikobewertung etwa in SAP NetWeaver und ABAP Platform, SAP Document Builder (HTTP-Service), SAP S/4HANA (Manage Incoming Payment Files), SAP CRM (WebClient UI), SAP BW/4HANA Transformation und DTP, SAP Student Life Cycle Management (SLcM) und SAP NetWeaver AS Java (Guided Procedures). Zudem findet sich eine als niedriges Risiko verortete Lücke, durch die unbefugt Informationen preisgegeben werden können, in SAP BusinessObjects Business Intelligence Platform (Scheduling).

SAP hat auch ältere Sicherheitsnotizen aktualisiert. Aus dem Mai stammt ursprünglich die Warnung vor einer Lücke in SAP NetWeaver Application Server ABAP und ABAP Platform, zudem gab es eine Aktualisierung einer Meldung aus dem Juni 2018 zu einer Schwachstelle in Central Finance Infrastructure Components.

IT-Verantwortliche sollten die Aktualisierung der bei ihnen eingesetzten verwundbaren SAP-Software zeitnah einplanen und vornehmen, um die Angriffsfläche für Cyberattacken zu reduzieren.

Am Mai-Patchday hat SAP sogar 14 Sicherheitslücken in diversen Produkten aus dem Portfolio gestopft. Angreifer hätten durch sie etwa Schadcode einschleusen können.

(dmk)