Patchday: SAP behandelt nur drei Sicherheitslücken
Der November-Patchday weicht vom gewohnten Umfang ab: Lediglich drei neue Sicherheitslücken behandelt SAP.
(Bild: heise online)
Im November beschert SAP den IT-Verantwortlichen einen deutlich ruhigeren Patchday als üblich. Lediglich drei neue Sicherheitsmitteilungen haben die Entwickler veröffentlicht, dazu drei ältere aktualisiert. Dennoch haben sie eine der Schwachstellen als kritisch deklariert, sodass betroffene Administratorinnen und Administratoren zügig handeln sollten.
In der Patchday-Übersicht von SAP schreiben die Autoren, dass eine unzureichende Zugriffskontrolle eine kritische Bedrohung für SAP Business One-Installationen bedeutet (CVE-2023-31403, CVSS 9.6, Risiko "kritisch"). Bei Zugriffen auf SMB-Netzwerkshares finde keine hinreichende Authentifizierungs- und Autorisierungsprüfung statt, sodass Angreifer Dateien dorthin schreiben und von dort lesen können. Zudem können Dateien aus dem Ordner ausgeführt oder im Installationsprozess genutzt werden, was "erheblichen Einfluss auf die Vertraulichkeit, Integrität und Verfügbarkeit" habe.
Mittlerer Bedrohungsgrad bei weiteren SAP-Lücken
Zwei weitere Schwachstellen ermöglichen die unbefugte Preisgabe von Informationen. Sie betreffen SAP NetWeaver Application Server ABAP and ABAP Platform (CVE-2023-41366, CVSS 5.3, mittel) und NetWeaver AS Java Logon (CVE-2023-42480, CVSS 5.3, mittel).
Aktualisiert hat SAP zudem Informationen zu einer Schwachstelle in der SAP CommonCryptoLib, die am September-Patchday ausgebessert wurde und als kritisch gilt. Außerdem noch die Sicherheitsmitteilung zu einer Server-Side Request Forgery in SAP NetWeaver AS Java, die am Oktober-Patchday verarztet wurde und noch eine Cross-Site Request Forgery in mehreren SAP Sybase-Produkten, die die Programmierer bereits im August 2017 korrigiert haben.
IT-Verantwortliche erhalten Zugriff auf die konkreten Sicherheitsmitteilungen und damit verknüpften Softwareupdates auf den ihnen bekannten Wegen. Zumindest SAP-Business-One-Admins sollten unverzüglich die Aktualisierungen herunterladen und installieren.
Bereits der Oktober-Patchday war etwas ruhiger. SAP hatte dort sieben Sicherheitsmeldungen zu Schwachstellen in mehreren Produkten herausgegeben.
(dmk)
