Alert!

SAP: 13 neue Sicherheitswarnungen zum Februar-Patchday

SAP verteilt Software-Updates, die Schwachstellen aus 13 Sicherheitsmitteilungen ausbessern. Eine LĂĽcke ist kritisch.

In Pocket speichern vorlesen Druckansicht 1 Kommentar lesen

(Bild: heise online)

Lesezeit: 2 Min.
Von

SAP geht zum Februar-Patchday Schwachstellen in 13 neuen Sicherheitsmitteilungen an. Eine davon hat die Risikoeinstufung "kritisch" erhalten. IT-Verantwortliche mit SAP-Installationen sollten die Aktualisierungen zĂĽgig herunterladen und anwenden.

Die gravierendste Sicherheitslücke ist laut SAPs Sammelmitteilung zum Patchday in SAP ABA (Application Basis) zu finden. Laut Schwachstellenbeschreibung können als Nutzer angemeldete Angreifer mit Ausführungsrechten eine verwundbare Schnittstelle missbrauchen und damit unbefugte Aktionen ausführen, etwa Daten lesen und verändern oder sogar das ganze System lahmlegen (CVE-2024-22131, CVSS 9.1, Risiko "kritisch").

FĂĽnf weitere SicherheitslĂĽcken erhalten die Risiko-Einstufung "hoch". In NetWeaver AS Java stopft SAP etwa eine Cross-Site-Scripting-LĂĽcke (CVE-2024-22126, CVSS 8.8, hoch) und eine XXE-LĂĽcke (XML External Entity) (CVE-2024-24743, CVSS 8.6, hoch), eine Cross-Site-Scripting-LĂĽcke in SAP CRM (CVE-2024-22130, CVSS 7.6, "hoch"), eine Codeschmuggel-Schwachstelle in SAP IDES-Systemen (CVE-2024-22132, CVSS 7.4, hoch) und schlieĂźlich eine unangemessene Zertifikat-PrĂĽfung in SAP Cloud Connector (CVE-2024-25642, CVSS 7.4, hoch).

Zudem haben die Programmierer sieben SicherheitslĂĽcken mit mittlerem Bedrohungsgrad geschlossen. Die betreffen SAP Bank Account Management, SAP Companion, SAP Netweaver Application Server ABAP, SAP Netweaver Business Client for HTML, SAP Fiori App, SAP Master Data Governance Material und noch mal SAP CRM.

Alte Sicherheitsmeldungen hat SAP ebenfalls aktualisiert. Der mitgelieferte Chrome-Browser vom SAP Business Client schließt in aktualisierter Fassung Sicherheitslücken, außerdem gibt es Ergänzungen bei einer Datenleck-Lücke in SAP GUI für Windows und für Java aus dem Dezember. Von da stammte auch die Meldung einer Directory-Traversal-Schwachstelle in SAP Master Data Governance, die auf neuen Stand gebracht wurde.

Am Januar-Patchday hatte SAP noch zehn SicherheitslĂĽcken in der Business-Software gestopft. Auch davon waren einige als kritisches Sicherheitsrisiko eingestuft.

(dmk)