Inhaltsverzeichnis
Kritisch (Hot News): Code-Injection-Schwachstelle in SAP Quotation Management Insurance
Produkt: SAP Quotation Management Insurance application (FS-QUO), Versionen – FS-QUO 800
Es besteht eine kritische Code-Injection-Schwachstelle in der SAP Quotation Management Insurance Anwendung (FS-QUO). Ursache ist eine veraltete Version der Logging-Bibliothek Apache Log4j (Version 1.2.17), die im Modul FS-QUO-scheduler eingesetzt wird. Diese Schwachstelle kann von einem Angreifer über Netzwerkzugriff ausgenutzt werden, um beliebigen Code auf dem betroffenen Server auszuführen. Die Sicherheitslücke wurde mit einem CVSS Score von 9,8 (kritisch) bewertet.
Die Schwachstelle basiert auf einer unsicheren Verarbeitung von serialisierten Daten innerhalb der Log4j-Komponente. Ein Angreifer kann manipulierte Daten an den Server senden und dadurch eine Deserialisierung auslösen, die letztlich zur Ausführung von schädlichem Code führt. Dadurch sind insbesondere die Vertraulichkeit, Integrität und Verfügbarkeit des Systems gefährdet.
SAP hat das Problem behoben, indem die betroffene Komponente aktualisiert wurde und eine nicht mehr verwundbare Version der Apache Log4j-Bibliothek eingesetzt wird. Administratoren sollten die in diesem Sicherheitshinweis beschriebenen Korrekturen oder Support Packages zeitnah implementieren, um das Risiko einer Systemkompromittierung zu minimieren.
Als temporären Workaround empfiehlt SAP, die Datei log4j-1.2.17.jar aus dem Verzeichnis des FS-QUO-scheduler-Moduls zu entfernen. Dieser Schritt reduziert kurzfristig das Risiko, stellt jedoch keine dauerhafte Lösung dar. SAP empfiehlt daher ausdrücklich, die bereitgestellten Korrekturen vollständig einzuspielen.
Mehr dazu finden Sie unter dem Hinweis: 3698553
Kritisch (Hot News): Insecure Deserialization in SAP NetWeaver Enterprise Portal Administration
Produkt: SAP NetWeaver Enterprise Portal Administration, Versionen – EP-RUNTIME 7.50
Es besteht eine kritische Sicherheitslücke in SAP NetWeaver Enterprise Portal Administration, die auf eine unsichere Deserialisierung von Daten zurückzuführen ist. Diese Schwachstelle kann ausgenutzt werden, wenn ein privilegierter Benutzer manipulierte oder nicht vertrauenswürdige Inhalte hochlädt, die anschließend vom System verarbeitet werden. Die Sicherheitslücke wurde mit einem CVSS Score von 9,1 (kritisch) bewertet.
Die Ursache der Schwachstelle liegt in einer unzureichenden Validierung von eingehenden Daten während des Deserialisierungsprozesses. Deserialisierung bezeichnet den Vorgang, bei dem zuvor gespeicherte oder übertragene Daten wieder in interne Objekte umgewandelt werden. Werden hierbei manipulierte Daten verarbeitet, kann ein Angreifer potenziell schädlichen Code ausführen. Dadurch kann die Vertraulichkeit, Integrität und Verfügbarkeit des betroffenen Systems erheblich beeinträchtigt werden.
SAP hat die betroffene Funktionalität überarbeitet und zusätzliche Validierungsmechanismen implementiert, um eingehende Daten vor der Verarbeitung zu prüfen. Unternehmen sollten die in diesem Sicherheitshinweis genannten Support Packages und Patches zeitnah implementieren, um das Risiko einer Ausnutzung zu minimieren.
Für diese Sicherheitslücke ist kein Workaround verfügbar.
Mehr dazu finden Sie unter dem Hinweis: 3714585
Hoch: Denial-of-Service-Schwachstelle in SAP Supply Chain Management
Produkt: SAP Supply Chain Management, Versionen – SCMAPO 713, 714, S4CORE 102, 103, 104, S4COREOP 105, 106, 107, 108, 109, SCM 700, 701, 702, 712
Es besteht eine Denial-of-Service-Schwachstelle (DoS) in SAP Supply Chain Management, die durch eine unkontrollierte Ressourcennutzung verursacht wird. Ein authentifizierter Angreifer mit regulären Benutzerrechten und Netzwerkzugriff kann eine über Remote Function Call (RFC) erreichbare Funktionskomponente wiederholt mit einem übermäßig großen Loop-parameter aufrufen. Die Sicherheitslücke wurde mit einem CVSS Score von 7,7 (hoch) bewertet.
Durch die manipulierten Eingabewerte kann eine sehr lange Schleifenausführung ausgelöst werden, wodurch erhebliche Systemressourcen verbraucht werden. Dies kann dazu führen, dass das betroffene SAP-System stark verlangsamt wird oder vorübergehend nicht mehr verfügbar ist. Während die Vertraulichkeit und Integrität der Daten nicht direkt betroffen sind, kann die Systemverfügbarkeit erheblich beeinträchtigt werden.
SAP hat das Problem behoben, indem zusätzliche Eingabevalidierungen implementiert wurden. Diese verhindern, dass übermäßig große Parameterwerte verarbeitet werden und schützen so vor übermäßiger Ressourcennutzung.
Ein Workaround ist für diese Sicherheitslücke nicht verfügbar. SAP empfiehlt daher, die in diesem Sicherheitshinweis beschriebenen Korrekturanweisungen oder Support Packages zeitnah zu implementieren, um die Systemstabilität sicherzustellen.
Mehr dazu finden Sie unter dem Hinweis: 3719502
Mittel: Server-Side Request Forgery (SSRF) in SAP NetWeaver Application Server für ABAP
Produkt: SAP NetWeaver Application Server für ABAP, Versionen – SAP_BASIS 740, 750, 752, 753, 754, 755, 756, 757, 758, 816, 918
Es besteht eine Server-Side Request Forgery (SSRF)-Schwachstelle im SAP NetWeaver Application Server für ABAP. Ursache ist ein ABAP-Testreport, der HTTP-Anfragen an beliebige interne oder externe Endpunkte senden kann. Die Sicherheitslücke wurde mit einem CVSS Score von 6,4 (mittel) bewertet.
Ein authentifizierter Angreifer mit grundlegenden Berechtigungen zur Ausführung von ABAP-Reports kann diese Funktion missbrauchen, um gezielt HTTP-Anfragen aus dem SAP-System heraus an interne oder externe Systeme zu senden. Dadurch kann unter Umständen mit internen Diensten oder Schnittstellen kommuniziert werden, die normalerweise nicht direkt erreichbar sind. Dies kann zu einer eingeschränkten Gefährdung der Vertraulichkeit und Integrität von Daten führen, während die Verfügbarkeit des Systems nicht betroffen ist.
SAP hat die Schwachstelle behoben, indem der betroffene ABAP-Testreport vollständig entfernt wurde, da dieser nicht mehr aktiv genutzt wird. Dadurch wird verhindert, dass HTTP-Anfragen an beliebige Zielsysteme ausgelöst werden können.
SAP empfiehlt, die in diesem Sicherheitshinweis referenzierten Support Packages oder Korrekturanweisungen zu implementieren, um die Schwachstelle dauerhaft zu schließen.
Mehr dazu finden Sie unter dem Hinweis: 3689080
Mittel: Fehlende Autorisierungsprüfung in SAP NetWeaver Application Server für ABAP
Produkt: SAP NetWeaver Application Server für ABAP, Versionen – SAP_BASIS 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, 758, 816
Es besteht eine Sicherheitslücke im SAP NetWeaver Application Server für ABAP aufgrund einer fehlenden Autorisierungsprüfung. Ein authentifizierter Angreifer mit geringen Benutzerrechten kann eine bestimmte ABAP-Funktionskomponente ausführen und dadurch Einträge in der Datenbank-Konfigurationstabelle des ABAP-Systems lesen, ändern oder neu anlegen. Die Schwachstelle wurde mit einem CVSS Score von 6,4 (mittel) bewertet.
Durch diese fehlende Prüfung von Benutzerberechtigungen kann ein Angreifer unautorisierte Änderungen an Konfigurationseinträgen vornehmen. Solche Manipulationen können zu Leistungsproblemen oder Störungen im Systembetrieb führen. Während die Vertraulichkeit der Daten nicht betroffen ist, können Integrität und Verfügbarkeit des Systems in begrenztem Umfang beeinträchtigt werden.
SAP hat die Schwachstelle behoben, indem eine zusätzliche Autorisierungsprüfung für den Schreibzugriff implementiert wurde. Dadurch wird sichergestellt, dass nur berechtigte Benutzer Änderungen an den betroffenen Konfigurationseinträgen vornehmen können.
SAP empfiehlt, die in diesem Sicherheitshinweis referenzierten Support Packages oder Korrekturanweisungen zeitnah einzuspielen, um die Sicherheitslücke zu schließen.
Mehr dazu finden Sie unter dem Hinweis: 3703856
Mittel: SQL-Injection-Schwachstelle in SAP NetWeaver (Feedback Notification)
Produkt: SAP NetWeaver (Feedback Notification), Versionen – SAP_ABA 700, 701, 702, 731, 740, 750, 751, 752, 75A, 75B, 75C, 75D, 75E, 75F, 75G, 75H, 75I, 816
Es besteht eine SQL-Injection-Schwachstelle im SAP NetWeaver Feedback Notification Service. Ein authentifizierter Angreifer mit niedrigen Benutzerrechten kann manipulierte Eingaben in dafür vorgesehene Eingabefelder einschleusen, die anschließend ohne ausreichende Prüfung in SQL-Abfragen übernommen werden. Die Sicherheitslücke wurde mit einem CVSS Score von 6,4 (mittel) bewertet.
Die Anwendung verarbeitet Benutzereingaben direkt innerhalb von SQL-Abfragen, ohne diese zuvor ausreichend zu validieren oder zu maskieren. Dadurch kann ein Angreifer die Logik der Datenbankabfrage verändern, beispielsweise durch Manipulation der WHERE-Bedingungen. In bestimmten Fällen kann dies dazu führen, dass auf Daten zugegriffen wird, für die eigentlich keine Berechtigung besteht.
Die Auswirkungen dieser Schwachstelle betreffen in erster Linie die Vertraulichkeit der Daten in geringem Umfang. Integrität und Verfügbarkeit des Systems sind laut Bewertung nicht wesentlich betroffen.
SAP hat die Schwachstelle behoben, indem Benutzereingaben vor der Verarbeitung in SQL-Abfragen korrekt validiert und maskiert werden. Dadurch wird verhindert, dass manipulierte Eingaben die Datenbankabfragen beeinflussen können.
SAP empfiehlt, die in diesem Sicherheitshinweis referenzierten Support Packages oder Korrekturanweisungen zeitnah zu implementieren, um das Risiko eines SQL-Injection-Angriffs zu reduzieren.
Mehr dazu finden Sie unter dem Hinweis: 3697355
Mittel: DOM-basierte Cross-Site-Scripting-Schwachstelle in SAP Business One (Job Service)
Produkt: SAP Business One (Job Service), Versionen – B1_ON_HANA 10.0, SAP-M-BO 10.0
Es besteht eine DOM-basierte Cross-Site-Scripting-Schwachstelle (XSS) im SAP Business One Job Service. Ursache ist eine unzureichende Validierung von benutzerkontrollierten Eingaben innerhalb von URL-Parametern. Die Sicherheitslücke wurde mit einem CVSS Score von 6,1 (mittel) bewertet.
Ein nicht authentifizierter Angreifer kann speziell präparierte Eingaben in URL-Parameter einfügen, die anschließend im Browser verarbeitet werden. Wenn ein Benutzer mit dieser manipulierten URL interagiert, kann im Kontext der Anwendung schädlicher JavaScript-Code ausgeführt werden. Dadurch können unter anderem Sitzungsinformationen abgegriffen oder Inhalte der Anwendung manipuliert werden.
Die Auswirkungen dieser Schwachstelle betreffen in geringem Umfang die Vertraulichkeit und Integrität der Anwendung. Die Verfügbarkeit des Systems ist von dieser Sicherheitslücke nicht betroffen.
SAP hat das Problem behoben, indem die Verarbeitung von Weiterleitungs-URLs angepasst wurde. Künftig werden diese serverseitig generiert und validiert, bevor sie an die Benutzeroberfläche übergeben werden. Dadurch wird verhindert, dass nicht vertrauenswürdige Eingaben auf der Client-Seite verarbeitet werden.
SAP empfiehlt, die in diesem Sicherheitshinweis referenzierten Support Packages oder Patches zeitnah zu implementieren, um das Risiko eines Cross-Site-Scripting-Angriffs zu reduzieren.
Mehr dazu finden Sie unter dem Hinweis: 3693543
Mittel: Fehlende Autorisierungsprüfung in SAP Business Warehouse (Service API)
Produkt: SAP Business Warehouse (Service API), Versionen – DW4CORE 200, 300, 400, PI_BASIS 2006_1_700, 701, 702, 730, 731, 740, SAP_BW 750, 751, 752, 753, 754, 755, 756, 757, 758, 816
Es besteht eine Sicherheitslücke im SAP Business Warehouse (Service API) aufgrund einer fehlenden Autorisierungsprüfung in einem betroffenen RFC-Funktionsmodul. Ein authentifizierter Angreifer mit niedrigen Benutzerrechten kann dadurch unautorisierte Aktionen im System durchführen. Die Schwachstelle wurde mit einem CVSS Score von 5,9 (mittel) bewertet.
Durch diese Schwachstelle können Angreifer Konfigurations- oder Steuerungsänderungen vornehmen, für die sie eigentlich keine Berechtigung besitzen. In bestimmten Fällen kann dies die Verarbeitung von Systemanfragen beeinträchtigen oder unterbrechen und somit zu einer Denial-of-Service-Situation führen. Während die Vertraulichkeit der Daten nicht betroffen ist, können Integrität und insbesondere die Verfügbarkeit des Systems beeinträchtigt werden.
SAP hat die Schwachstelle behoben, indem zusätzliche Autorisierungsprüfungen implementiert wurden. Diese stellen sicher, dass Benutzer über die notwendigen Berechtigungen verfügen, um beispielsweise RFC-Destinationen zu ändern oder neue Datenladeverbindungen zu erstellen. Außerdem wird verhindert, dass nicht autorisierte Benutzer aktive Sitzungen unterbrechen können.
SAP empfiehlt, die in diesem Sicherheitshinweis referenzierten Support Packages oder Korrekturanweisungen zeitnah zu implementieren, um die Sicherheitslücke zu schließen.
Mehr dazu finden Sie unter dem Hinweis: 3703385
Mittel: Fehlende Autorisierungsprüfung in SAP S/4HANA HCM Portugal und SAP ERP HCM Portugal
Produkt: SAP S/4HANA HCM Portugal und SAP ERP HCM Portugal, Versionen – S4HCMCPT 100, 101, 102, SAP_HRCPT 600, 604, 608
Es besteht eine Sicherheitslücke in SAP S/4HANA HCM Portugal und SAP ERP HCM Portugal aufgrund einer fehlenden Autorisierungsprüfung. Ein Benutzer mit hohen Berechtigungen kann unter bestimmten Umständen auf sensible Daten eines anderen Unternehmens zugreifen. Die Schwachstelle wurde mit einem CVSS Score von 5,8 (mittel) bewertet.
Die Ursache liegt in einer unzureichenden Prüfung von Berechtigungen innerhalb eines betroffenen Reports. Dadurch kann ein privilegierter Benutzer Daten einsehen, die eigentlich nur für eine bestimmte Organisation oder Gesellschaft vorgesehen sind. Dies führt zu einer erhöhten Gefährdung der Vertraulichkeit sensibler HR-Daten. Integrität und Verfügbarkeit des Systems sind von dieser Schwachstelle nicht betroffen.
SAP hat zur Behebung der Sicherheitslücke eine zusätzliche, optional aktivierbare Autorisierungsprüfung implementiert. Diese wird über das bestehende Autorisierungsobjekt HR_PYPT_COMP gesteuert und im Report RPUTSVP0 integriert. Die Implementierung erfolgt über das Switchable Authorization Check Framework (SACF), wodurch die Prüfung zunächst deaktiviert ausgeliefert wird, um bestehende Prozesse nicht zu beeinträchtigen.
SAP empfiehlt, die in diesem Sicherheitshinweis referenzierten Support Packages oder Korrekturanweisungen zu implementieren und die zusätzlichen Autorisierungsprüfungen entsprechend der Systemanforderungen zu aktivieren.
Mehr dazu finden Sie unter dem Hinweis: 3701020
Mittel: Unsichere Speicherung sensibler Daten in SAP Customer Checkout 2.0
Produkt: SAP Customer Checkout 2.0, Versionen – SAP_CUSTOMER_CHECKOUT 2.0
Es besteht eine Sicherheitslücke in SAP Customer Checkout 2.0 aufgrund einer unsicheren Speicherung von betrieblichen Daten. Bestimmte Informationen werden lokal mit einem reversiblen Schutzmechanismus gespeichert. Ein Angreifer mit entsprechendem technischem Wissen und Zugriff auf das System könnte diese Daten entschlüsseln und manipulieren. Die Schwachstelle wurde mit einem CVSS-Score von 5,6 (mittel) bewertet.
Für eine erfolgreiche Ausnutzung sind mehrere Voraussetzungen erforderlich. Dazu gehören physischer Zugriff auf das Kassensystem, Zugriff auf das Installationsverzeichnis der Anwendung sowie die Fähigkeit, geschützte Dateien zu entschlüsseln. Unter diesen Bedingungen könnten Angreifer Konfigurationsdaten verändern, was sich auf das Verhalten der Anwendung beim Start auswirken kann.
Die Auswirkungen betreffen vor allem die Vertraulichkeit und Integrität der Anwendung in hohem Maße. Die Verfügbarkeit kann in geringem Umfang beeinträchtigt werden.
SAP hat zur Behebung der Schwachstelle eine neue Konfigurationsoption eingeführt, mit der der Root-Schlüssel der Anwendung sicher im Betriebssystem gespeichert werden kann. Für neue Installationen wird standardmäßig der „Operating system credential store“ verwendet, beispielsweise der Windows Credential Manager. Bestehende Installationen sollten entsprechend aktualisiert und auf diese sichere Speicherung umgestellt werden.
SAP empfiehlt, auf SAP Customer Checkout 2.0 FP21 PL22 oder höher zu aktualisieren und die sichere Schlüsselverwaltung über den Betriebssystem-Credential-Store zu aktivieren.
Mehr dazu finden Sie unter dem Hinweis: 3708457
Mittel: DLL-Hijacking-Schwachstelle in SAP GUI für Windows mit aktivem GuiXT
Produkt: SAP GUI für Windows mit aktivem GuiXT, Versionen – BC-FES-GUI 8.00
Es besteht eine DLL-Hijacking-Schwachstelle in SAP GUI für Windows, wenn die Erweiterung GuiXT aktiviert ist. Die Anwendung kann unter bestimmten Umständen DLL-Dateien aus beliebigen Verzeichnissen innerhalb der Anwendung laden. Die Sicherheitslücke wurde mit einem CVSS Score von 5,0 (mittel) bewertet.
Ein nicht authentifizierter Angreifer könnte versuchen, einen Benutzer dazu zu bringen, eine manipulierte DLL-Datei in einem der betroffenen Verzeichnisse abzulegen. Wird diese Datei anschließend von der Anwendung geladen, kann der darin enthaltene Schadcode im Kontext des angemeldeten Benutzers ausgeführt werden. Voraussetzung für die Ausnutzung der Schwachstelle ist, dass GuiXT aktiviert ist und der Benutzer mit der manipulierten Datei interagiert.
Die Auswirkungen dieser Schwachstelle sind insgesamt gering und betreffen Vertraulichkeit, Integrität und Verfügbarkeit des Systems in begrenztem Umfang.
SAP hat das Problem behoben, indem die Anwendung ab GuiXT Version 2023 Q4 3 keine anfälligen DLL-Dateien mehr aus unsicheren Verzeichnissen lädt. Dadurch wird verhindert, dass manipulierte Bibliotheken ausgeführt werden können.
SAP empfiehlt, die in diesem Sicherheitshinweis referenzierten Support Packages oder Patches zu implementieren, um das Risiko eines DLL-Hijacking-Angriffs zu reduzieren.
Mehr dazu finden Sie unter dem Hinweis: 3699761
Mittel: Fehlende Autorisierungsprüfung in SAP NetWeaver Application Server für ABAP
Produkt: SAP NetWeaver Application Server für ABAP, Versionen – SAP_BASIS 700, 701, 702, 730, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, 758, 816
Es besteht eine Sicherheitslücke im SAP NetWeaver Application Server für ABAP aufgrund einer fehlenden Autorisierungsprüfung in einer bestimmten RFC-Funktionskomponente. Ein authentifizierter Angreifer mit Benutzerrechten könnte dadurch auf Daten zugreifen, für die eigentlich keine Berechtigung vorgesehen ist. Die Schwachstelle wurde mit einem CVSS Score von 5,0 (mittel) bewertet.
Über die betroffene RFC-Funktion kann ein Angreifer auf Protokolldateien des Database Analyzer zugreifen. Diese Log-Dateien können unter Umständen sensible Systeminformationen enthalten. Durch den unautorisierten Zugriff besteht das Risiko, dass ein Angreifer zusätzliche Informationen über das System erhält und diese für weiterführende Angriffe nutzen kann.
Die Auswirkungen betreffen hauptsächlich die Vertraulichkeit der Daten in begrenztem Umfang. Integrität und Verfügbarkeit des Systems sind von dieser Schwachstelle nicht betroffen.
SAP hat das Problem behoben, indem eine zusätzliche Autorisierungsprüfung für den Lesezugriff implementiert wurde. Dadurch wird sichergestellt, dass nur entsprechend berechtigte Benutzer Zugriff auf die betroffenen Log-Dateien erhalten.
SAP empfiehlt, die in diesem Sicherheitshinweis referenzierten Support Packages oder Korrekturanweisungen zeitnah zu implementieren, um die Sicherheitslücke zu schließen.
Mehr dazu finden Sie unter dem Hinweis: 3704740
Mittel: Fehlende Autorisierungsprüfung im SAP Solution Tools Plug-In (ST-PI)
Produkt: SAP Solution Tools Plug-In (ST-PI), Versionen – ST-PI 2008_1_700, 2008_1_710, 740, 758
Es besteht eine Sicherheitslücke im SAP Solution Tools Plug-In (ST-PI) aufgrund einer fehlenden Autorisierungsprüfung in einem betroffenen Funktionsmodul. Ein authentifizierter Benutzer mit geringen Berechtigungen kann dadurch auf Systeminformationen zugreifen, für die eigentlich keine entsprechende Berechtigung vorgesehen ist. Die Schwachstelle wurde mit einem CVSS Score von 5,0 (mittel) bewertet.
Durch die fehlende Prüfung der Benutzerberechtigungen kann das Funktionsmodul Informationen über das System preisgeben. Diese Informationen können unter Umständen für weiterführende Angriffe genutzt werden, etwa zur Analyse der Systemstruktur oder zur Vorbereitung weiterer Sicherheitsangriffe.
Die Auswirkungen dieser Schwachstelle betreffen ausschließlich die Vertraulichkeit von Systeminformationen in begrenztem Umfang. Integrität und Verfügbarkeit des Systems sind nicht betroffen.
SAP hat die Sicherheitslücke behoben, indem im betroffenen Funktionsmodul zusätzliche Autorisierungsprüfungen implementiert wurden. Dadurch wird sichergestellt, dass nur berechtigte Benutzer Zugriff auf die entsprechenden Systeminformationen erhalten.
SAP empfiehlt, die in diesem Sicherheitshinweis referenzierten Korrekturanweisungen oder Support Packages zeitnah zu implementieren, um die Sicherheitslücke zu schließen.
Mehr dazu finden Sie unter dem Hinweis: 3707930
Mittel: Denial-of-Service-Schwachstelle durch veraltete OpenSSL-Version in SAP NetWeaver AS Java (Adobe Document Services)
Produkt: SAP NetWeaver AS Java (Adobe Document Services), Versionen – ADSSAP 7.50
Es besteht eine Sicherheitslücke in SAP NetWeaver AS Java (Adobe Document Services), da eine veraltete Version der Kryptobibliothek OpenSSL verwendet wird. Die Schwachstelle steht im Zusammenhang mit den Sicherheitslücken CVE-2025-9230 und CVE-2025-9232 und wurde mit einem CVSS Score von 4,3 (mittel) bewertet.
Ein authentifizierter Angreifer könnte bekannte Schwachstellen in der verwendeten OpenSSL-Version ausnutzen, um Arbeitsprozesse der Adobe Document Services zum Absturz zu bringen. Dadurch kann die Verarbeitung von Formularen und Dokumenten unterbrochen werden.
Die Auswirkungen dieser Sicherheitslücke betreffen ausschließlich die Verfügbarkeit der Anwendung in geringem Umfang. Vertraulichkeit und Integrität der Daten sind von dieser Schwachstelle nicht betroffen.
SAP hat das Problem behoben, indem Adobe Document Services mit einer aktualisierten Version der OpenSSL-Bibliothek ausgeliefert werden. Dadurch werden die bekannten Schwachstellen in der verwendeten Kryptokomponente geschlossen.
SAP empfiehlt, die in diesem Sicherheitshinweis referenzierten Support Packages oder Patches zu implementieren, um sicherzustellen, dass eine aktuelle und sichere Version von OpenSSL verwendet wird.
Mehr dazu finden Sie unter dem Hinweis: 3700960
Nähere Informationen zu allen veröffentlichten Sicherheitslücken des SAP Patch Day März finden Sie hier.
Wenn Sie Unterstützung bei der Bewertung der Sicherheitslücken in Bezug auf Ihre Systeme benötigen, wenden Sie sich gern direkt an René Studtmann.
