Patchday: SAP schließt fünf Sicherheitslücken
Im August veröffentlicht SAP Meldungen zu fünf neu entdeckten Sicherheitslücken. Zudem aktualisiert der Hersteller zwei ältere Berichte zu Schwachstellen.
![Aufmacher SAP-Patchday](https://heise.cloudimg.io/width/610/q85.png-lossy-85.webp-lossy-85.foil1/_www-heise-de_/imgs/18/3/5/8/9/9/5/1/sap_patchday.jpg-5ad6e89b6d28a3eb.jpeg)
(Bild: heise online)
Der August-Patchday von SAP bedeutet für Administratoren vergleichweise geringen Aufwand, da der Hersteller lediglich fünf Meldungen zu Sicherheitslücken in den Business-Produkten veröffentlicht hat. Zudem gab es Aktualisierungen von zwei älteren Fehlerberichten.
Verwundbare SAP-Produkte
Die schwerwiegendste Schwachstelle betrifft SAP BusinessObjects Business Intelligence Platform (Open Document). Angreifer könnten unbefugt an Informationen gelangen (CVE-2022-32245, CVSS 8.2, Risiko "hoch"). Weitere Schwachstellen ermöglichen den Informationsabfluss im SAP Authenticator for Android (CVE-2022-35290, CVSS 5.3, mittel), SAP BusinessObjects Business Intelligence Platform (MonitoringDB) (CVE-2022-31596, CVSS 5.2, mittel) sowie in SAP BusinessObjects Business Intelligence Platform (CommentaryDB) (CVE-2022-32244, CVSS 5.2, mittel).
Zudem gibt es im SAP Enable Now Manager eine fehlende Autorisierungsprüfung (CVE-2022-35293, CVSS 4.2, mittel). Die aktualisierten Fehlermeldungen betreffen einerseits den mitgelieferten Google Chrome-Browser beim SAP Business Client sowie möglichen Umgehungen von Laufzeit-Prüfungen von inBC-MID-RFC in SAP Netweaver.
Nähere Details nennt SAP in der Patchday-Meldung wie üblich nicht. SAP-Administratoren können mit ihrem Zugang jedoch an die Downloads der aktualisierten Software sowie die detaillierten Fehlerberichte gelangen, die in der Patchday-Meldung verlinkt sind.
Die bereitgestellten Aktualisierungen sollten Administratoren im nächsten geplanten Wartungszeitraum installieren, um die Angriffsfläche zu minimieren. Anders als im Juli sollte das jedoch zügig gelingen – da waren noch 20 Sicherheitslücken in SAP-Produkten abzudichten.
(dmk)