zurück zum Artikel

Wie jeden Monat flickt SAP seine Software. Das Gefahrenpotenzial zweier ausgebesserter Löcher ist hoch bis kritisch – Nutzer sollten zügig updaten.

Software-Hersteller SAP hat elf Sicherheitslücken in verschiedenen Produkten geschlossen. Updates stehen unter anderem für BusinessObjects BI, Commerce Cloud, Diagnostic Agent, Information Steward, NetWeaver, das SAP Gateway sowie das JavaScript-Framework OpenUI bereit.

SAPs Sicherheitshinweis bewertet neun der elf Lücken mit dem Schweregrad "Medium" [1], zwei weitere mit "High" (CVSS-v3-Score 8.7 von 10) und "Hot News" (9.1 von 10.).

Die letztgenannten stecken in ABAP-Testmodulen von NetWeaver Process Integration ("High", CVE-2019-0328 [2]) sowie im SAP Diagnostics Agent ("Hot News", CVE-2019-0330 [3]). Betroffen sind die Versionen 7.0, 7.1, 7.3, 7.31, 7.4 und 7.5 von NetWeaver PI und SAP Diagnostic Agent (LM-Service) in der Version 7.20.

In welcher Form Angreifer die Lücken ausnutzen könnten und welche Auswirkungen dies hätte, geht aus dem Sicherheitshinweis nicht hervor. Registrierte SAP-Kunden finden weiterführende Informationen und die bereitgestellten Patches wie immer im SAP-Support-Portal. [4] Die im Sicherheitshinweis verlinkten "Notes" führen direkt zu den benötigten Informationen. (ovw [5])

URL dieses Artikels:
https://www.heise.de/-4466836

Links in diesem Artikel:
[1] https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=523994575
[2] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0328
[3] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0330
[4] https://launchpad.support.sap.com
[5] mailto:olivia.von.westernhagen@gmail.com

Copyright © 2019 Heise Medien