Patchday: 18 Sicherheitsnotizen zu teils kritischen LĂĽcken in SAP-Software
Am Mai-Patchday dichtet SAP zum Teil kritische SicherheitslĂĽcken in der Software des Unternehmens ab. IT-Verantwortliche sollten die Updates zĂĽgig anwenden.
(Bild: heise online)
Zum Patchday im Mai veröffentlicht SAP 18 neue Sicherheitsnotizen. Zwei davon behandeln als kritisches Risiko eingestufte Schwachstellen. IT-Verantwortliche sollten daher die bereitstehenden Aktualisierungen zügig herunterladen und installieren.
SAP: Teils mehrere LĂĽcken in einzelnen Produkten
Am schwerwiegendsten stuft SAP gleich fünf Schwachstellen in der Reprise License Manager-Komponente des SAP Visual Enterprise License Managers ein (CVE-2021-44152, CVSS 9.8, Risiko "kritisch"; CVE-2021-44151, CVSS 7.5, hoch; CVE-2021-44153, CVSS 7.2, hoch; CVE-2021-44154, CVSS 7.2, hoch; CVE-2021-44155, CVSS 5.3, mittel). In SAP BusinessObjects Business Intelligence Platform können authentifizierte Angreifer mit Administratorrechten Login-Tokens beliebiger angemeldeter Nutzer über das Netzwerk abgreifen, ohne jedwede Benutzerinteraktion. Damit können sie sich als beliebige Benutzer der Plattform ausgeben und so auf Daten zugreifen und diese verändern. Sie können auch das System teilweise oder ganz unzugänglich machen (CVE-2023-28762, CVSS 9.1, kritisch).
Sieben weitere Schwachstellen erachtet das Unternehmen als hochriskant. Davon sticht eine nicht ausreichende Zugriffskontrolle beim Anwendungsstart in SAP AS Netweaver Java heraus (CVE-2023-30744, CVSS 8.2, hoch). Außerdem können Angreifer mit dem SAP IBP Add-in für Microsoft Excel ihre Rechte ausweiten (CVE-2023-29080, CVSS 8.2, hoch).
Weitere hochriskante LĂĽcken betreffen SAP PowerDesigner (Proxy), SAP Commerce, SAP GUI fĂĽr Windows, SAP Commerce (Backoffice) und SAPUI5. Sieben Sicherheitslecks mit mittlerem Risiko finden sich in SAP BusinessObjects Business Intelligence Platform, SAP CRM (WebClient UI), SAP Business Planning and Consolidation und SAP BusinessObjects Business Intelligence Platform (Central Management Service). Zwei LĂĽcken mit niedrigem Bedrohungsgrad haben zudem SAP BusinessObjects Business Intelligence Platform und Vendor Master Hierarchy aufzuweisen.
In der Zusammenfassung der Patchday-Meldungen von SAP verlinken die Entwickler weitergehende Informationen. Administratoren finden dort auf den ihnen zugänglichen Seiten zudem die aktualisierte Software.
Im April hatte SAP 19 SicherheitslĂĽcken am Patchday behandelt. Davon waren zwei als kritisch eingestuft.
(dmk)
