Patchday: SAP schützt Kunden vor Spionage
Der Softwarehersteller sichert sein Portfolio ab. Es stehen mehrere Patches für verschiedene Produkte zum Download bereit.
Am Patchday im August schließt SAP insgesamt 16 Sicherheitslücken in diversen Produkten. Keine Lücke gilt als kritisch. Drei Schwachstellen weisen den Bedrohungsgrad hoch auf. Zur Ausführung von Schadcode kann es der Sicherheitswarnung zufolge nicht kommen.
Mit "hoch" eingestufte Schwachstellen klaffen im SAP NetWeaver AS Java Web Container (Directory Traversal), dem Visual Composer 04s iviews (Code Injection) und SAP Bussiness Objects (XSS).
Nutzen Angreifer die Lücken aus, können sie unter anderem unbefugt auf Daten zugreifen, Informationen auslesen, sich höhere Rechte erschleichen oder ein Gerät via DoS-Attacke lahmlegen.
Vertrauliche Daten in Gefahr
Auch des SAP CRM WebClient User Interface kann ein Informationsleck sein: Angreifer sollen eine Schwachstelle für den Zugriff auf Kundendaten aus der Ferne mittels SQL Injection ausnutzen können. Da Firmen und Institutionen das CRM WebClient User Interface in der Regel im Umfeld von vertraulichen Daten einsetzen, sollten Admins den Patch zügig installieren. SAP stuft das von der Lücke ausgehende Risiko als "mittel" ein.
Diese Einschätzung gilt auch für zehn weitere Lücken. Zwei Schwachstellen sind mit dem Bedrohungsgrad "niedrig" eingestuft. Eine Übersicht der geschlossenen Lücken findet sich in der oben verlinkten Sicherheitswarnung. (des)