heise PlusAbo
Anzeige

Patchday: SAP behebt unter anderem kritische LĂĽcke in NetWeaver

Am September-Patchday hat SAP zahlreiche Lücken geschlossen und überdies einige ältere Security Advisories aktualisiert.

vorlesen Druckansicht 7 Kommentare lesen
Patchday: SAP behebt unter anderem eine kritische LĂĽcke in NetWeaver
Lesezeit: 2 Min.
Security
Von

SAP hat am gestrigen Dienstag eine Reihe von Sicherheitslücken in seiner betriebswirtschaftlichen Software geschlossen. Neben zahlreichen Problemen mit "Medium"-Einstufung behob das Unternehmen auch eine kritische Lücke in NetWeaver (CVSS-v3-Score 9.1), über die Angreifer die Kontrolle über die Anwendung erlangen könnten, sowie mehrere nicht näher beschriebene Sicherheitsrisiken, die mit der Einstufung "High" (7.7) zusammengefasst wurden.

Zudem nahm SAP drei Aktualisierungen an älteren Sicherheitshinweisen vor, die ebenfalls kritische Lücken betreffen. SAP-Kunden sollten bereitstehende Updates umgehend einspielen.

NetWeaver-LĂĽcke und aktualisierte Security Notes

Wie aus SAPs Advisory zum September-Patchday hervorgeht, steckt die kritische Lücke in einem API der NetWeaver-Komponente Application Server Java (ENGINEAPI). Sie ermöglicht einem Angreifer das Injizieren von Code, der dann im Kontext von NetWeaver ausgeführt wird und über den er schlimmstenfalls die Kontrolle über die Anwendung übernehmen kann. Betroffen sind die NetWeaver-Versionen 7.10, 7.20, 7.30, 7.31, 7.40 und 7.50.

Weitere Details zur LĂĽcke mit der CVE-Nummer CVE-2019-0355 sowie Informationen zu verfĂĽgbaren Updates finden Kunden, indem sie im Advisory auf die verlinkte Security Note (in diesem Fall 2798336) klicken und sich anschlieĂźend ĂĽber das Support-Launchpad in ihrem Account anmelden. Das gilt ĂĽbrigens gleichermaĂźen auch fĂĽr alle anderen SicherheitslĂĽcken.

Weiterhin sollten Nutzer auch einen Blick auf die aktualisierten Security Notes 2622660 von April 2018 (betraf eine kritische LĂĽcke im SAP Business Client in Version 6.5) und 2823733 beziehungsweise 2808158 (beide beziehen sich auf eine Note von Juli 2019 / den SAP Diagnostic Agent (LM-Service) in Version 7.20) werfen.

Wichtiges Update fĂĽr SAP HANA

Mehrere unter der CVE-Nummer CVE-2019-0363 zusammengefasste Probleme mit "High"-Einstufung betreffen die Entwicklungs- und Integrationsplattform SAP HANA in allen Versionen vor 1.0.118. Details nennt SAP im Advisory nicht; Kunden erfahren Näheres in der Security Note 2817491.

Die "Medium"-LĂĽcken betreffen unter anderem ebenfalls HANA, SAP Business One sowie die Business Objects Business Intelligence Platform; eine weitere LĂĽcke geringen Schweregrads ("Low") steckt ebenfalls in Business One. (ovw)

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten