Für den Monat September hat die SAP zum Security Patch Day wieder Sicherheitsupdates für verschiedene Produkte herausgebracht:
Die als „Hot News“ veröffentlichen Lücken betreffen dieses Mal die Produkte:
Solution Manager 7.2
- Im SAP Solution Manager 7.2 kann es zu einer vollständigen Gefährdung aller im Solution Manager verbundenen SMD Agents kommen, da eine fehlende Authentifizierungsprüfung keine Authentifizierung für den Service (SOA-Konfigurations-Trace-Komponente) durchführt. Dieses Problem existiert bereits seit März 2020. Für das bekannte Problem wurde nun ein weiteres Update herausgegeben, um die immer noch bestehende Sicherheitslücke zu schließen.
SAP NetWeaver (ABAP Server, bis Version 7.40) und ABAP Plattform (> Version 7.40)
- Im SAP NetWeaver (ABAP Server, bis Version 7.40) und ABAP Plattform (> Version 7.40) gibt es eine Anfälligkeit in der Remotecodeausführung. Einem Angreifer ist es möglich Code in den Arbeitsspeicher zu schleusen und auszuführen, welcher dafür sorgen könnte das der Angreifer die komplette Kontrolle übernehmen kann.
SAP Business Client
- Es gibt mehrere Schwachstellen im Drittanbieter-Webbrowser-Control Chromium, das im SAP Business Client verwendet werden kann. Diese Sicherheitslücken können dazu führen, dass Systeminformationen offengelegt werden oder es im schlimmsten Fall zu einem Systemabsturz kommen kann. Die Schwachstellen können sich direkt auf die Vertraulichkeit, Integrität und Verfügbarkeit eines Systems auswirken. Die Sicherheitslücken werden mit dem aktuellsten Business Client Patch behoben.
Ebenfalls als Hot News gekennzeichnet hat die SAP eine Sicherheitslücke im Produkt SAP-Marketing
Des Weiteren gab es noch eine Sicherheitslücke mit der Einstufung High. Dies bezieht sich auf ein Update einer Sicherheitslücke, die bereits im August bekannt gegeben wurde. Die Neuerung betrifft die NetWeaver Releases 700 und 701. Durch diese Sicherheitslücke kann ein User immer noch mit geringen Berechtigungen Code einführen, wenn er ein ABAP-Bericht über das Netzwerk ausführt.
Nähere Informationen zu allen veröffentlichten Sicherheitslücken zum SAP Patch Day September finden Sie hier.
Wenn Sie Unterstützung bei der Bewertung der Sicherheitslücken in Bezug auf Ihre Systeme benötigen, wenden Sie sich gern direkt an Herrn René Studtmann unter Rene.Studtmann@cpro-ips.com.