SAP veröffentlicht wichtige Sicherheitsupdates

SAP hat seine betriebswirtschaftliche Software mit wichtigen Sicherheitsupdates versehen. Insgesamt wurden sieben Schwachstellen behoben wovon zwei als kritisch eingestuft werden. Diese ermöglichten es Angreifern, Authentifizierungsmechanismen zu umgehen (NetWeaver, CVE-2019-0379) und vertrauliche Informationen aus der Software zu entnehmen (Landscape Management, CVE-2019-0380). Um mögliche Sicherheitsrisiken zu minimieren – sollten Nutzer die verfügbaren Updates zeitnah installieren.



Das Risiko, das von einer dritten Schwachstelle (CVE-2019-0381) in SAP SQL Anywhere, SAP IQ & SAP Dynamic Tiering ausgeht, stuft der Hersteller als "High" ein. Laut Beschreibung kann sie unter bestimmten Voraussetzungen zum "versehentlichen" Zugriff auf Dateien außerhalb eines vom Nutzer angegebenen Pfades führen.


"Medium"-Schwachstellen und aktualisierte Informationen


Die übrigen Sicherheitslücken stecken in SAPs Customer Relationship Management (CRM), BusinessObjects BI, Financial Consolidation und im B2B-Add-On für NetWeaver. Sie ermöglichen vorwiegend Cross-Site-Scripting-Angriffe.


Zusätzlich hat SAP noch ein Update für einen Sicherheitshinweis vom vergangenen Patchday veröffentlicht (Denial-of-Service-Angriff auf SAP-Kernel und -GUIs, CVE-2019-0365).


Updates über das Support-Launchpad abrufbar


Die von den Schwachstellen mit "Critical"- und "High"-Einstufung betroffenen Software-Versionen sind laut SAPs Advisory zum Oktober-Patchday NetWeaver 1․0/2.0, Landscape Management 3․0 und ebenfalls SAP IQ 16․1, SAP SQL Anywhere 17․0 & SAP Dynamic Tiering 1․0/2.0.


Weitere Details zu den Lücken sowie Informationen zu den verfügbaren Updates finden Kunden, indem sie im Advisory auf die jeweilige Security Note klicken und sich anschließend über das Support-Launchpad in ihrem SAP-Account anmelden.


Zuletzt aktualisiert am Uhr



Kommentare


Anzeige