SAP: Patchday im Oktober geht ruhiger zu
Der Patchday von SAP im Oktober bringt lediglich sieben Benachrichtigungen zu Schwachstellen. Der Hersteller stuft deren Risiko als mittel ein.
(Bild: heise online)
Patchday bei SAP: Im Oktober veröffentlicht das Unternehmen sieben Sicherheitsmeldungen zu Schwachstellen in mehreren Produkten des Hauses. Sie alle stufen die Entwickler als mittleres Risiko ein. Eine Sicherheitsnotiz aus dem April 2018 hat ebenfalls eine Aktualisierung erfahren, deren Risiko mit kritisch eingeordnet wird.
Die ältere Sicherheitsnotiz betrifft den Google-Chrome-Webbrowser, der mit dem SAP Business Client ausgeliefert wird. Den bringt der Hersteller offenbar auf einen aktuellen, abgesicherten Versionsstand.
SAP: Mehrere Schwachstellen mittleren Bedrohungsgrades
Die im Oktober neu hinzugekommen Meldungen betreffen etwa eine Cross-Site-Scripting-Lücke in SAP BusinessObjects Web Intelligence (CVE-2023-42474, CVSS 6.8, Risiko "mittel"). Im SAP PowerDesigner Client findet sich eine fehlende XML-Validierung, die beim BPMN2-Import Sicherheitsprobleme bereiten kann (CVE-2023-40310, CVSS 6.5, mittel). Die GRMG Heartbeat-App in SAP Netweaver AS Java ermöglicht Angreifern eine Server Side Request Forgery (SSRF), mit der sie üblicherweise auf abgeschottete Netzwerke unbefugt zugreifen können (CVE-2023-42477, CVSS 6.5, mittel).
In S/4HANA fehlt eine Autorisierungsprüfung in der Komponente Manage Withholding Tax Items (CVE-2023-42473, CVSS 5.4, mittel). Zu einer Log-Injection-Schwachstelle im Log-Viewer von SAP Netweaver AS for Java haben die Entwickler eine aktualisierte Meldung vorgelegt (CVE-2023-31405, CVSS 5.3, mittel). SAP Business One könnte unbefugt Informationen preisgeben (CVE-2023-41365, CVSS 4.3, mittel), ebenso die Komponente Statutory Reporting (CVE-2023-42475, CVSS 4.3, mittel).
SAP fasst die Sicherheitsnotizen in einer Übersicht zusammen und verlinkt darin auch interne Materialien wie Software-Aktualisierungen, auf die IT-Verantwortliche auf den ihnen bekannten Wegen zugreifen können. Zwar ordnen die Entwickler die Lücken lediglich als mittelschwere Risiken ein, dennoch sollten die Updates bei nächster Möglichkeit eingeplant und angewendet werden.
Im September hatte SAP insgesamt 13 neue Sicherheitsmeldungen veröffentlicht. Davon warem zwei als kritisches Risiko eingeordnete Sicherheitslücken etwa in SAP Business Objects sowie in SAP CommonCryptoLib.
(dmk)
