SAP hat erfolgreich elf Sicherheitslücken in verschiedenen Produkten behoben. BusinessObjects BI, Commerce Cloud, Diagnostic Agent, Information Steward, NetWeaver, das SAP Gateway und ebenfalls das JavaScript-Framework OpenUI sind von den Updates betroffen. SAP gibt an, dass neun Lücken als "Medium" eingestuft wurden, während zwei weitere als "High" und "Hot News" mit hohen CVSS-v3-Scores bewertet wurden.
Die letztgenannten stecken in ABAP-Testmodulen von NetWeaver Process Integration ("High", CVE-2019-0328) sowie im SAP Diagnostics Agent ("Hot News", CVE-2019-0330). Betroffen sind die Versionen 7․0, 7․1, 7․31, 7․4 und 7․5 von NetWeaver PI und SAP Diagnostic Agent (LM-Service) in der Version 7․20.
In welcher Form Angreifer die Lücken ausnutzen könnten und welche Auswirkungen dies hätte, geht aus dem Sicherheitshinweis nicht hervor. Registrierte SAP-Kunden finden weiterführende Informationen und die bereitgestellten Patches wie immer im SAP-Support-Portal. Die im Sicherheitshinweis verlinkten "Notes" führen direkt zu den benötigten Informationen.
Kommentare