Patchday: SAP schließt kritische Datenleak-Lücke in BusinessObjects
Es sind wichtige Sicherheitsupdates für SAP-Software erschienen. Admins sollten zeitnah handeln.
(Bild: heise online)
Am Patchday im September hat der deutsche Softwarehersteller SAP in BusinessObjects Business Intelligence Platform und CommonCryptoLib „kritische“ Sicherheitslücke geschlossen. Darüber hinaus sind noch weitere Anwendungen attackierbar.
Die Schwachstellen
Wie aus einem Beitrag hervorgeht, ist die Lücke (CVE-2023-40622) in BusinessObjects Business Intelligence Platform am gefährlichsten. Nach einer erfolgreichen Attacke soll ein authentifzierter Anwender Informationen einsehen und die Software komplett kompromittieren können.
Durch das erfolgreiche Ausnutzen der zweiten kritischen Schwachstelle (CVE-2023-40309) sollen Angreifer die Authentifizierung von CommonCryptoLib umgehen können.
Außerdem ist es möglich, dass Angreifer Daten in BusinessObjects Business Intelligence Platform manipulieren (CVE-2023-42472 „hoch“). Die verbleibenden Lücken sind größtenteils mit dem Bedrohungsgrad „mittel“ eingestuft und betreffen unter anderem NetWeaver. Hier können Angreifer beispielsweise für DoS-Attacken ansetzen.
Darüber hinaus hat SAP noch mehrere ältere Sicherheitshinweise aktualisiert.
(des)
