SAP hat seine betriebswirtschaftliche Software mit wichtigen Sicherheitsupdates versehen. Insgesamt wurden sieben Schwachstellen behoben wovon zwei als kritisch eingestuft werden. Diese ermöglichten es Angreifern, Authentifizierungsmechanismen zu umgehen (NetWeaver, CVE-2019-0379) und vertrauliche Informationen aus der Software zu entnehmen (Landscape Management, CVE-2019-0380). Um mögliche Sicherheitsrisiken zu minimieren – sollten Nutzer die verfügbaren Updates zeitnah installieren.
Das Risiko, das von einer dritten Schwachstelle (CVE-2019-0381) in SAP SQL Anywhere, SAP IQ & SAP Dynamic Tiering ausgeht, stuft der Hersteller als "High" ein. Laut Beschreibung kann sie unter bestimmten Voraussetzungen zum "versehentlichen" Zugriff auf Dateien außerhalb eines vom Nutzer angegebenen Pfades führen.
"Medium"-Schwachstellen und aktualisierte Informationen
Die übrigen Sicherheitslücken stecken in SAPs Customer Relationship Management (CRM), BusinessObjects BI, Financial Consolidation und im B2B-Add-On für NetWeaver. Sie ermöglichen vorwiegend Cross-Site-Scripting-Angriffe.
Zusätzlich hat SAP noch ein Update für einen Sicherheitshinweis vom vergangenen Patchday veröffentlicht (Denial-of-Service-Angriff auf SAP-Kernel und -GUIs, CVE-2019-0365).
Updates über das Support-Launchpad abrufbar
Die von den Schwachstellen mit "Critical"- und "High"-Einstufung betroffenen Software-Versionen sind laut SAPs Advisory zum Oktober-Patchday NetWeaver 1․0/2.0, Landscape Management 3․0 und ebenfalls SAP IQ 16․1, SAP SQL Anywhere 17․0 & SAP Dynamic Tiering 1․0/2.0.
Weitere Details zu den Lücken sowie Informationen zu den verfügbaren Updates finden Kunden, indem sie im Advisory auf die jeweilige Security Note klicken und sich anschließend über das Support-Launchpad in ihrem SAP-Account anmelden.
Kommentare