SAP-Patchday: Angreifer könnten Daten von SAP-Software leaken
SAP hat Sicherheitsupdates für unter anderem Business One und NetWeaver AS ABAP veröffentlicht.
Admins, die Software von SAP betreuen, sollten aus Sicherheitsgründen gefährdete Anwendungen auf den aktuellen Stand bringen. Passiert das nicht, könnten Angreifer Systeme attackieren.
Am gefährlichsten gilt eine mit dem Bedrohungsgrad „hoch“ eingestufte Sicherheitslücke (CVE-2021-27611) in SAP NetWeaver AS ABAP. Hier könnte ein Angreifer mit Zugriff auf das lokale SAP-System auf die verwundbaren Versionen 700, 701, 702, 730 und 731 zugreifen und eigenen Code ausführen. Das könnte beispielsweise in einer DoS-Attacke enden.
Zugangsdaten kopieren
SAP Business One ist über zwei mit „hoch“ eingestufte Schwachstellen attackierbar. Klappen Attacken, könnten Angreifer auf eigentlich abgeschottete Daten zugreifen.
Durch das erfolgreiche Ausnutzen von mit dem Bedrohungsgrad „mittel“ versehenen Lücken in SAP Commerce, SAP Process Integration und SAP GUI für Windows könnten Angreifer DoS-Zustände provozieren oder Zugangsdaten kopieren (Bedrohungsgrad „niedrig“). Für Letzteres müssten Angreifer Opfer auf eine von ihnen kontrollierte mit Malware versehen Internetseite locken.
Im Sicherheitsbereich der SAP-Website finden sich außerdem fünf Updates zu schon in der Vergangenheit veröffentlichten Sicherheitspatches.
(des)