Kontakt & Service
Haben Sie Fragen?
040 - 6965850 - 0
info@cpro-ips.com
Jetzt Beratung vereinbaren

In wenigen Schritten einen Beratungs­termin mit unseren Experten buchen.

Anwender Helpdesk

Hilfestellung bei Problemen in Ihren SAP-Systemen.

Webinare

Unser Webinarangebot. Jetzt informieren!

Newsletter

Jetzt Newsletter abonnieren!

SAP Basis & Security SAP Patch Day November 2025

Inhaltsverzeichnis
Jonas Jordans (SAP Basis)
Autor:

Jonas Jordans (SAP Basis)

Beitrag teilen
Passende Themen
#november25 #patch

Kritisch (Hot News): Unsicheres Key- und Secret Management in SQL Anywhere Monitor (Non-GUI)

Produkt: Sybase SQL Anywhere 17.0 SP1 (bis Build 8038)

  • Es besteht eine kritische Schwachstelle in dem Key- und Secretmanagement des SQL Anywhere Monitor (Non-GUI), die durch fest im Code hinterlegte Zugangsdaten (Hard-coded Credentials) verursacht werden. Diese Sicherheitslücke kann Angreifern ermöglichen, unautorisierten Zugriff auf Ressourcen oder Funktionen zu erlangen und beliebigen Code auszuführen.
  • Die Schwachstelle hat erhebliche Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit und wurde mit einem CVSS Score von 10/10  (kritisch) bewertet.
  • Ursprünglich diente der SQL Anywhere Monitor als Übergangslösung nach der Abkündigung von Adobe Flash, wobei die Standardzugänge nicht in allen Umgebungen angepasst wurden. Dadurch konnten Angreifer über die voreingestellten Benutzer- oder Kennwörter direkten Zugriff auf das System erhalten.
  • SAP hat den SQL Anywhere Monitor in der aktuellen Version SQL Anywhere 17.0 SP1 PL20 Build 8039 vollständig entfernt. Bestehende Installationen werden mit diesem Update bereinigt, und historische Monitoring-Daten werden in entladenem Zustand bereitgestellt.
  • Ein Workaround besteht darin, alle Instanzen der Datenbank „samonitor.db“ zu löschen und künftig ausschließlich das SQL Anywhere Cockpit für Monitoring-Zwecke zu verwenden.
  • Mehr dazu finden Sie unter dem Hinweis: 3666261

Kritisch (Hot News): Code-Injection-Schwachstelle in SAP Solution Manager

Produkt: SAP Solution Manager, Version ST 720

  • Es besteht eine kritische Code-Injection-Schwachstelle in SAP Solution Manager, die es einem authentifizierten Angreifer ermöglicht, schädlichen ABAP-Code in einen remote-fähigen Funktionsbaustein einzufügen. Dies kann dazu führen, dass der Angreifer die vollständige Kontrolle über das System erlangt, wodurch die Vertraulichkeit, Integrität und Verfügbarkeit des Systems erheblich gefährdet wird.
  • Die Schwachstelle wurde mit einem CVSS Score von 9,9 (kritisch) bewertet. Das Problem tritt aufgrund einer fehlenden Eingabebereinigung im betroffenen Funktionsbaustein auf, was es Angreifern ermöglicht, beliebigen Code einzuschleusen.
  • Die SAP hat eine Lösung bereitgestellt, die das Problem durch das Hinzufügen eines Code-Snippets zur Bereinigung der Eingaben behebt. Diese Änderung lehnt die meisten nicht alphanumerischen Zeichen ab und verhindert somit die Code-Injection. Es wird empfohlen, die im SAP-Sicherheitshinweis aufgeführten Support Package Patches schnellstmöglich zu installieren.
  • Mehr dazu finden Sie unter dem Hinweis: 3668705

Kritisch (Hot News): Memory Corruption Schwachstelle in SAP CommonCryptoLib

Produkt: SAP CommonCryptoLib, Version CRYPTOLIB 8

  • Es besteht eine kritische Schwachstelle in SAP CommonCryptoLib, die aufgrund fehlender Grenzprüfungen beim Parsen von ASN.1-Daten über das Netzwerk auftritt. Diese Schwachstelle ermöglicht es einem Angreifer, schädliche Daten zu senden, die zu einem Pufferüberlauf führen können. Dies kann einen Speicherabsturz und damit eine erhebliche Beeinträchtigung der Verfügbarkeit des Systems verursachen.
  • Vertraulichkeit oder Integrität des Systems sind durch diese Schwachstelle nicht betroffen.
  • SAP hat die Korrektur bereitgestellt, die durch verbesserte Grenzprüfungen das Problem behebt. Die Lösung besteht darin, CommonCryptoLib 8.5.60 (oder höher) herunterzuladen und zu installieren, um die Schwachstelle zu schließen.
  • Es wird empfohlen, die im SAP-Sicherheitshinweis 3633049 genannten Support Package Patches schnellstmöglich zu installieren.

Update zu Hinweis 3660659 (Oktober Patchday) Kritisch: Unsichere Deserialisierung in SAP NetWeaver (RMI-P4)

Produkt: SAP NetWeaver AS Java, Version - SERVERCORE 7.50

v40 (aktuelle Version) - Aktualisierung 11. November 2025: Der vorausgesetzte SAP-Hinweis 3670067 wurde im Abschnitt „Lösung" referenziert. Zudem wurden die Haftungsausschlussinformationen für optionale Klassen entfernt und Vorschläge zur umfassenden Härtung für optionale Klassen/Pakete hinzugefügt.

Nähere Informationen zu allen veröffentlichten Sicherheitslücken des SAP Patch Day November finden Sie hier.

Wenn Sie Unterstützung bei der Bewertung der Sicherheitslücken in Bezug auf Ihre Systeme benötigen, wenden Sie sich gern direkt an René Studtmann.

Das könnte Sie auch interessieren

SAP Patch Day Dezember 2025

Kritisch (Hot News): Code-Injection-Schwachstelle in SAP Solution Manager Produkt: SAP Solution Manager Version - ST...

SAP Patch Day Oktober 2025

Kritisch: Unsichere Deserialisierung in SAP NetWeaver AS Java Produkt: SAP NetWeaver AS Java, Version - SERVERCORE...

SAP Patch Day September 2025

Kritisch (Hot News): Code-Injection-Schwachstelle in SAP Landscape Transformation (Analyseplattform) Produkt: SAP Landscape Transformation (Analysis Platform),...

SAP Patch Day August 2025

Kritisch (Hot News): Code-Injection-Schwachstelle in SAP Landscape Transformation (Analyseplattform) Produkt: SAP Landscape Transformation (Analysis Platform),...
Zu Insights
Newsletter Setzen Sie auf fundiertes Wissen aus allen Bereichen unserer Branche. Regelmäßig und stets aktuell.
Beratende Person
Kontakt Haben Sie Fragen oder wünschen weitere Informationen? Unsere Experten beraten Sie gerne.