SAP-Patchday: 20 neue Sicherheitslücken im Juli abgedichtet
Mit den Updates zum Juli-Patchday schließt SAP 20 neue Sicherheitslücken. Zudem aktualisiert der Hersteller drei ältere Security-Bulletins.
(Bild: heise online)
Das Walldorfer Unternehmen SAP hat zum Juli-Patchday 20 neue Sicherheitslücken gemeldet und aktualisiert Berichte zu drei alten Schwachstellen. Von den neuen Lücken gelten vier als Bedrohungsgrad hoch, 15 als mittel und eine als niedrig,
Grobe Zusammenfassung
Ähnlich wie Google veröffentlicht SAP keine Details zu den Sicherheitslücken, sondern liefert nur einen grobschlächtigen Überblick. Als hohes Risiko betrachtet SAP etwa eine Schwachstelle in der SAP BusinessObjects Business Intelligence Platform. Darin könnten sensible Informationen abfließen (CVE-2022-35228, CVSS 8.3, Risiko "hoch").
Eine ebensolche Lücke findet sich auch in SAP Business One (CVE-2022-32249, CVSS 7.6, hoch). Zudem fehlt in Business One eine Authentifizierungsprüfung (CVE-2022-28771, CVSS 7.5, hoch) und die Software lässt sich Code injizieren (CVE-2022-31593, CVSS 7.4, hoch).
Weiter meldet SAP Schwachstellen mittleren Schweregrads nach absteigendem Risiko sortiert in SAP BusinessObjects Business Intelligence Platform 4.x, SAP NetWeaver Enterprise Portal, SAP Enterprise Portal, SAP NetWeaver Enterprise Portal (WPC), SAP BusinessObjects Business Intelligence Platform (LCM), SAP BusinessObjects (BW Publisher Service), SAP BusinessObjects Business Intelligence Platform (Visual Difference Application), SAP Business Objects, SAPS/4HANA Geschäftspartner-Erweiterung für Spanien/Slowakai, Manage Checkbooks-Komponente von SAPS/4HANA und in SAP Enterprise Extension Defense Forces & Public Security.
Schließlich gibt es noch eine Lücke von niedrigem Risiko in SAP 3D Visual Enterprise Viewer. In der Sicherheitsmeldung zum Patchday von SAP verlinkt der Hersteller die CVE-Einträge sowie Detailinformationen im Launchpad genannten Insider-Bereich der Webseite. Darauf haben nur Administratoren als SAP-Kunden Zugriff. Dort finden sich dann auch Informationen zu den Aktualisierungen selber.
IT-Verantwortliche sollten zügig ein Wartungsfenster für die Aktualisierungen einplanen, damit Cyberkriminelle die Sicherheitslücken nicht zum Infiltrieren des Netzwerkes missbrauchen können.
Lesen Sie auch
Patchday: Updates bessern zehn SAP-Schwachstellen aus
(dmk)