September-Patchday bei SAP
Der Softwarehersteller hat mehrere Sicherheitspatches für diverse Produkte veröffentlicht. Die Priorität von drei Updates stuft SAP mit "hoch" ein.
Am Patchday im September weisen die Sicherheitsnotizen des Herstellers für betriebswirtschaftliche Software 23 Einträge auf. Admins finden in der Auflistung unter anderem die bedrohten Produkte und mit welcher Priorität SAP die Sicherheitsupdates einstuft. Details zu den 16 Lücken kann man nur mit einem Account abrufen.
Zwei Schwachstellen im Point of Sale (POS) Retail Xpress Server weisen den CVSS Score 8.1 von 10 auf. Admins sollten die Patches zügig einspielen, ansonsten könnten Angreifer offenbar die Authentifizierung umgehen. Das eine Update für das POS-System ist bereits im Juli erschienen, SAP hat aber den Sicherheitshinweis aktualisiert. Der zweite Patch erschien außer der Reihe am 18. August und der Softwarehersteller weist nun nochmal darauf hin.
Die dritte mit der Priorität "hoch" eingestufte Lücke klafft im Electronic Ledger Management for Turkey 1.0. Angreifer könnten dort für einen CSRF-Übergriff ansetzen. 17 weitere Schwachstellen sind mit der Priorität "Mittel" eingestuft. Darunter finden sich viele XSS-Lücken. Für drei Schwachstellen sieht SAP das Risiko als "gering" an.
SAP Notes mit digitaler Signatur
Außerdem gibt der Hersteller bekannt, dass sie "SAP Notes" künftig digital signieren wollen, um die Authentizität zu gewähren. Im Zuge einer Überprüfung soll so sichergestellt sein, dass man manipulierte SAP Notes nicht in ABAP-Systeme laden kann.
Digital signierte SAP Notes sollen als SAR-Dateien zur Verfügung stehen. Damit die Überprüfung die Signatur beim Hochladen klappt, müssen Admins das Note Assistant Tool mit der Security Note 2408073 (Zugriff nur mit Account) entsprechend konfigurieren. (des)
