Patchday: 15 Sicherheitswarnungen von SAP
Am Dezember-Patchday hat SAP 15 neue Sicherheitsmitteilungen herausgegeben. Sie thematisieren teils kritische LĂĽcken.
(Bild: heise online)
Der Dezember-Patchday bringt bei SAP Software-Flicken fĂĽr mehr als 15 Sicherheitslecks. Eine Sammelnotiz behandelt LĂĽcken, die SAP als kritisch einstuft. Zudem gibt es vier Sicherheitsmitteilungen zu hochriskanten Schwachstellen, sieben zu Lecks mittlerem Bedrohungsgrads sowie zwei weitere, die SicherheitslĂĽcken mit niedriger Risikoeinstufung behandeln.
Als kritisch gelten den Walldorfern mehrere Lücken in SAP Business Technology Platform (BTP) Security Services Integration Libraries, die Angreifern die Ausweitung ihrer Rechte ermöglicht (CVE-2023-49583, CVE-2023-50422, CVE-2023-50423, CVE-2023-50424, CVSS 9.1, Risiko "kritisch"). In SAP Commerce Cloud können Angreifer unzureichende Zugriffskontrollen für bösartige Zwecke missbrauchen (CVE-2023-42481, CVSS 8.1, hoch).
SAP: Hochriskante SicherheitslĂĽcken
In der SAP BusinessObjects Business Intelligence Platform findet sich eine Cross-Site-Scripting-Lücke (CVE-2023-42478, CVSS 7.5, hoch), während die SAP GUI für Java und für Windows Unbefugten Informationen preisgeben können (CVE-2023-49580, CVSS 7.3, hoch). Im SAP Emarsys SDK für Android fehlt außerdem eine Autorisierungsprüfung (CVE-2023-6542, CVSS 7.1, hoch).
Die SicherheitslĂĽcken mittleren Schweregrads finden sich in SAP BusinessObjects Web Intelligence, im SAP Solution Manager, in SAP Biller Direct, in SAP HCM (Smart Paye Solution), in der JSZip-Bibliothek von SAPUI5, im SAP Fiori Launchpad sowie in SAP Netweaver Application Server ABAP und ABAP Platform. Niedriges Risiko stellen weitere LĂĽcken in SAP Master Data Governance und im SAP Cloud Connector dar.
Die Sicherheitsmitteilungen versammelt SAP auf einer eigenen Patchday-Webseite. Dort finden IT-Verantwortliche auch die Verlinkung zu den einzelnen Notizen. DarĂĽber gelangen sie auf den ihnen bekannten Wegen an die aktualisierten Softwarepakete.
Der November-Patchday verlief fĂĽr IT-Verantwortliche etwas ruhiger als der aktuelle im Dezember. Das Unternehmen hatte dort lediglich drei SicherheitslĂĽcken mit aktualisierter Software gestopft.
(dmk)
