Patchday: SAP-Updates versperren Angriffswege über teils kritische Lücken
Neben einer NetWeaver-Schwachstelle mit dem CVSS-"Highscore" 10 hat SAP zum Patchday noch zahlreiche weitere Sicherheitsprobleme aus seinen Produkten entfernt.
![](https://heise.cloudimg.io/width/610/q85.png-lossy-85.webp-lossy-85.foil1/_www-heise-de_/imgs/18/3/0/1/6/4/9/7/sap_patchday__3_-28c3c98615686176.jpeg)
Softwarehersteller SAP hat zum Patchday insgesamt drei kritische Schwachstellen aus NetWeaver Application Server for Java, aus der BusinessObjects BI-Plattform und aus Business Warehouse entfernt. Zudem beseitigen Aktualisierungen für den SAP Solution Manager, NetWeaver AS ABAP und SAP S4 HANA zwei Schwachstellen mit "High"-Einstufung.
Fixes für fünf "Medium"- und eine "Low"-Lücke sowie Aktualisierungen für Sicherheitshinweise früherer Patchdays vervollständigen die Sicherheitsupdate-Veröffentlichungen für Dezember. SAPs Advisory zum Security Patchday fasst wie immer sämtliche Aktualisierungen zusammen.
Überblick über die kritischen Lücken
Bei den drei als kritisch (SAP-interne Bezeichnung "Hot News") bewerteten Lücken handelt es sich um fehlende Authentifizierungsüberprüfungen und XML-Validierungsmechanismen sowie um die Möglichkeit einer Code Injection. Im Einzelnen betreffen sie folgende Software-Versionen:
- CVE-2020-26829 (CVSS 10): NetWeaver AS JAVA (P2P Cluster Communication) 7.11, 7.20, 7.30, 7.31, 7.40, 7.50
- CVE-2020-26831 (CVSS 9.6): SAP BusinessObjects BI (Crystal Report) 4.1, 4.2, 4.3
- CVE-2020-26838 (CVSS 9.1): SAP Business Warehouse 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 782; SAP BW4HANA 100, 200
Weitere Informationen, auch zu verfügbaren Updates, sind SAPs Advisory und den darin verlinkten Security Notes im passwortgeschützten Supportbereich entnehmen.
(ovw)