Juni-Patchday bei SAP
Achtzehn neue Security-Notes, drei überarbeitete: Das ist die Bilanz des diesmonatigen Patchdays im Hause SAP.
Neben Adobe und Microsoft hat auch SAP seinen monatlichen Patchday abgehalten. Er umfasst achtzehn Patches [1], vier davon adressieren Sicherheitsprobleme, die der Hersteller mit der zweithöchsten Prioritättsstufe "High" bewertet. Dabei handelt es sich um eine fehlerhafte Zertifikats-Validierung in der CommonCryptoLib, eine Cross-Site-Scripting-Lücke im HTML-Interface von SAP BusinessObjects Web Intelligence, eine Denial-of-Service-Lücke in BILaunchPad und Central Management Console sowie eine ebensolche Anfälligkeit im SAP NetWeaver Instance Agent Service.
Bereits im März hatte der Hersteller ausgehende SSL-Verbindungen von NetWeaver abgesichert, das dazugehörige Advisory (Security-Note #2416119) wurde nun aktualisiert. Wer betroffen ist, sollte einen zweiten Blick darauf werfen. Die übrigen Security-Notes stuft SAP mit der Prioritätsstufe "Medium" ein. Sie betreffen die folgenden Produkte:
- SAP Note Assistant
- SAP MMC Console
- SAP Netweaver AS ABAP
- Business Planning & Consolidation
- SAP NetWeaver ADBC (Update der Security-Note #2423486 vom April)
- SAP NetWeaver Composite Application Framework and Business
- Web Intelligence BI
- SAP Web Dispatcher
- SAP NetWeaver Message Server
- SAP BusinessObjects Intercompany 10.0
- SCM Forecasting and Replenishment
- SAP Data Services Management Console
- WebClient User Interface (Update der Security-Note #2373032 vom Dezember 2016)
Weitere Informationen finden Sie im oben verlinkten Blog-Eintrag. Die detaillierten Security-Notes können ausschließlich SAP-Kunden aufrufen. Das Unternehmen empfiehlt den Betroffenen, die Patches möglichst schnell über das Support-Portal zu beziehen und einzuspielen. Dass der SAP-Patchday mit den Veröffentlichungen von Adobe und Microsoft zusammenfällt, ist übrigens kein Zufall: Es hat sich in der Branche durchgesetzt, Patchdays am jeweils zweiten Dienstag des Monats zu veranstalten. (rei [2])
URL dieses Artikels:
https://www.heise.de/-3743619
Links in diesem Artikel:
[1] https://blogs.sap.com/2017/06/13/sap-security-patch-day-june2017/
[2] mailto:rei@heise.de
Copyright © 2017 Heise Medien