Patchday: Lücken in SAP-Produkten ermöglichen Codeschmuggel
Am Februar-Patchday schließt SAP mehrere kritische Sicherheitslücken, durch die Angreifer Schadcode in betroffene Systeme einschleusen hätten können.
(Bild: Shutterstock/chanpipat)
Updates zum Februar-Patchday schließen teils kritische Sicherheitslücken in mehreren SAP-Produkten. Insgesamt 18 Schwachstellen meldet SAP, davon gleich sieben mit der Höchstwertung CVSS 10.0, also der Risikoeinstufung kritisch. Eine weitere kritische Lücke kommt auf einen CVSS-Wert von 9.1. Drei Lücken bewertet der Hersteller als hohes, sechs als mittleres und eine als niedriges Risiko. Immerhin – fünf der Einträge stellen Aktualisierungen älterer Sicherheitsmeldungen dar.
Zwei der kritischen Schwachstellen gehen abermals auf die Log4j-Sicherheitslücke zurück und betreffen SAP Commerce und SAP Data Intelligence 3 in der lokal installierbaren OnPremise-Version (CVE-2021-44228, CVSS 10.0, kritisch). Zudem hätten Angreifer in SAP NetWeaver, SAP Content Server und SAP Web Dispatcher Anfragen einschleusen können (CVE-2022-22536, CVSS 10.0, kritisch).
Zahlreiche Produkte mit Schwachstellen
Weitere Lücken finden sich in SAP Solution Manager Diagnostics Root Cause Analysis Tools (CVE-2022-22544, CVSS 9.1, kritisch), SAP NetWeaver Application Server Java (CVE-2022-22532, CVSS 8.1, hoch) und SAP NetWeaver AS ABAP (Workplace Server) (CVE-2022-22540, CVSS 7.1, hoch). Die weiteren betroffenen Produkte sowie eine knappe Nennung der jeweiligen Schwachstelle darin listet SAP auf der Patchday-Webseite auf.
Administratoren sollten insbesondere für die Aktualisierungen, die die kritischen Sicherheitslücken betreffen, sehr zeitnah ein Wartungsfenster für die Installation der Updates einplanen. Aber auch das Einspielen der anderen Sicherheits-Patches sollten IT-Verantwortliche nicht auf die lange Bank schieben.
(dmk)
