Patchday: SAP schließt kritische Lücken in Solution Manager und NetWeaver
Unter anderem erlauben drei kritische Sicherheitslücken in SAP-Software unbefugte Fernzugriffe. Patches fixen diese und auch weitere Probleme.
Zum Patch Tuesday hat SAP drei kritische Sicherheitslücken in verschiedenen Produkten beseitigt. Zwei davon betreffen die Software SAP Solution Manager, die der Verwaltung anderer SAP-Anwendungen in Unternehmen dient; eine weitere Lücke steckt in der UDDI-Server-Komponente von SAP NetWeaver. Alle drei Lücken sind aus der Ferne ausnutzbar.
Drei weitere Lücken hat SAP mit "High", die übrigen 10 mit der Einstufung "Medium" versehen. Die Sicherheitslücken mit hoher Risikoeinstufung wurden aus der Business Objects Business Intelligence Platform (Versionen 4.1 und 4.2), aus BusinessObjects Mobile / MobileBIService (Version 4.2) und SAP Disclosure Management (Version 10.1) entfernt.
Die verwundbare Software sollte umgehend aktualisiert werden. Sämtliche Details zu den Sicherheitslücken, betroffenen Software-Versionen und verfügbaren Updates sind SAPs Security Advisory für März 2020 sowie darin verlinkten Security Notes im passwortgeschützten Supportbereich zu entnehmen. Das Advisory führt auch Aktualisierungen älterer Sicherheitshinweise für SAP Business Client und SAP MaxDB/liveCache auf.
Kritische Lücken erlauben unbefugte Zugriffe
Die eingangs erwähnten kritischen Sicherheitslücken betreffen den Solution Manager in Version 7.2 und NetWeaver in den Versionen 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 und 7.50.
Erstere Lücken tragen die CVE-Kennungen CVE-2020-6207 und CVE-2020-6198 und haben extrem hohe CVE-Scores von 10.0 beziehungsweise 9.8. Den Beschreibungen zufolge basieren sie auf einer fehlenden Authentifizierungsüberprüfung. Sie ermöglichen entfernten unauthentifizierten Angreifern den Aufbau von unverschlüsselten Verbindungen, die Ausführung beliebibiger via Fernzugriff verfügbarer Funktionen sowie die Kompromittierung alleR SMDAgents, die mit dem Solution Manager verbunden sind.
Die NetWeaver-Lücke CVE-2020-6203 (CVSS-v3-Score 9.1) fußt laut Beschreibung auf unzureichenden Validierungsmechanismen von Pfadangaben und daraus resultierenden unbefugten Ordner- beziehungsweise Dateizugriffsmöglichkeiten durch entfernte Angreifer (Zugriff auf übergeordnete Verzeichnisse mittels Path Traversal). (ovw)
