Patchday: SAP schließt unter anderem eine Authentifizierungslücke
Es gibt wichtige Sicherheitsupdates für SAP Digital Manufacturing, NetWeaver & Co.
(Bild: heise online)
SAP hat eine Reihe von Löchern in seiner Software gestopft. Um Systeme vor möglichen Attacken zu schützen, sollten Admins von SAP-Software die verfügbaren Sicherheitspatches installieren.
Mehrere Sicherheitslücken
Im Sicherheitsbereich der SAP-Website listen der Hersteller von betriebswirtschaftlicher Software acht neue Sicherheitslücken und fünf Updates zu älteren Schwachstellen auf. Am gefährlichsten gilt eine XSS-Schwachstelle (CVE-2023-33991 "hoch") im UI Variant Management.
Bei einer XSS-Attacke betten Angreifer Schadcode in einen vermeintlich sicheren Kontext ein. Aufgrund der Schwachstelle – und der daraus resultierenden mangelnden Überprüfung – können sie so etwa Zugangsdaten aus Webbrowsern auslesen. In diesem Fall handelt es sich um die gefährlichere Variante: eine Stored-XSS-Lücke. In diesem Fall kann sich Schadcode etwa auf einem Server dauerhaft einnisten, sodass dieser bei jedem Abruf durch Opfer ausgeführt wird.
SAP Plant Connectivity und Production Connector für SAP Digital Manufacturing weisen Fehler bei der Authentifizierung auf (CVE-2023-2827 "hoch") und Angreifer könnten Serviceanfragen an die Softwares senden.
An etwa SAP CRM ABAP und SAP NetWeaver könnten Angreifer für XSS-Attacken ansetzen. Die Schwachstellen sind größtenteils mit dem Bedrohungsgrad "mittel" eingestuft. Aktualisierte Sicherheitsinformationen gibt es unter anderem für SAP BusinessObjects und SAP S/4HANA.
(des)
