SAP-Patchday: Updates schließen teils kritische Sicherheitslücken
Im Dezember informiert SAP über neun neu entdeckte Sicherheitslücken in diversen Produkten. Eine davon gilt als kritisches Risiko.
Es gibt Sicherheitslücken in SAP-Produkten.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
SAP hat zum Dezember-Patchday neun neue Sicherheitsmitteilungen herausgegeben. Zudem aktualisieren die Walldorfer vier ältere Schwachstellenmeldungen. Eine Lücke stellt ein kritisches Sicherheitsrisiko dar – IT-Verantwortliche sollten die bereitstehenden Aktualisierungen zügig anwenden.
In der Patchday-Übersicht listet SAP die Sicherheitslücken auf, die die Entwickler im Dezember mit Updates ausbessern. Die schwerwiegendste Schwachstelle betrifft SAP NetWeaver AS for Java – oder genauer, es finden sich gleich drei Lücken in den Adobe Document Services. Angreifer mit Admin-Rechten können etwa manipulierte Anfragen durch verwundbare Web-Apps senden und dadurch fälschlicherweise auf Systeme hinter Firewalls zugreifen. Durch Ausnutzen dieser Server-Side Request Forgery können sie beliebige Dateien lesen oder verändern sowie das ganze System lahmlegen (CVE-2024-47578, CVSS 9.1, Risiko "kritisch"). Die beiden weiteren Lücken erreichen mit jeweils einem CVSS-Wert von 6.8 hingegen eine Einstufung als mittleres Risiko.
SAP: Auch hochriskante Sicherheitslücken geschlossen
Durch einen entfernten Funktionsaufruf (Remote Function Call) in SAP NetWeaver Application Server ABAP können angemeldete Angreifer unbefugt auf Informationen zugreifen – etwa Zugangsdaten für Remote-Dienste. Damit können sie diese Dienste vollständig kompromittieren (CVE-2024-54198, CVSS 8.5, hoch). Zudem ermöglicht eine Schwachstelle in SAP NetWeaver Administrator (System Overview) ebenfalls eine Server-Side Request Forgery (CVE-2024-54197, CVSS 7.2, hoch).
Die weiteren Schwachstellen haben die Entwickler als mittleren oder niedrigen Bedrohungsgrad eingestuft. Dennoch sollten IT-Verantwortliche die Sicherheitslücken zeitnah durch Installieren der bereitstehenden Updates schließen. Die vollständige Liste der am Dezember-Patchday behandelten Sicherheitslecks:
- Multiple vulnerabilities in SAP NetWeaver AS for JAVA (Adobe Document Services), CVSS 9.1, kritisch
- Information Disclosure vulnerability through Remote Function Call (RFC) in SAP NetWeaver Application Server ABAP, CVSS 8.5, hoch
- Server-Side Request Forgery in SAP NetWeaver Administrator (System Overview), CVSS 7.2, hoch
- XML Entity Expansion Vulnerability in SAP NetWeaver AS JAVA, CVSS 5.3, mittel
- Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence platform, CVSS 5.3, mittel
- Missing Authorization check in SAP NetWeaver Application Server for ABAP and ABAP Platform, CVSS 4.3, mittel
- Missing Authorization check in SAP HCM (Approve Timesheets version 4), CVSS 4.3, mittel
- DLL Hijacking vulnerability in SAP Product Lifecycle Costing, CVSS 3.3, niedrig
- Information Disclosure vulnerability in SAP Commerce Cloud, CVSS 2.7, niedrig
Die Entwickler haben außerdem die Sicherheitsmitteilungen zu folgenden Schwachstellen aktualisiert:
- Cross-Site Scripting (XSS) vulnerability in SAP Web Dispatcher, CVSS 8.8, hoch, aus dem November
- NULL Pointer Dereference vulnerability in SAP NetWeaver Application Server for ABAP and ABAP Platform, CVSS 7.5, hoch, aus dem November
- Multiple Unrestricted File Upload vulnerabilities in SAP BusinessObjects Business Intelligence Platform, CVSS 4.3, mittel
- Multiple Unrestricted File Upload vulnerabilities in SAP BusinessObjects Business Intelligence Platform, CVSS 4.3, mittel
Am November-Patchday hatte SAP acht neue Sicherheitslücken geflickt und die Sicherheitsmitteilungen zu zwei älteren Schwachstellen ausgebessert.
(dmk)