SAPs Sicherheitskorrekturen am Juni-Patchday

Übersicht der Sicherheitslücken


SAP hat zum Juni-Patchday Sicherheitsnotizen für zehn frisch entdeckte Sicherheitslücken veröffentlicht. In zwei von diesen identifizierten Lücken schlummert das hohe Risiko.



Hochriskante Schwachstellen


Am kritischsten bewertet SAP eine Sicherheitslücke in SAP Financial Consolidation. Angreifer können dort ungesicherte Daten in eine Web-App einschleusen. Da die Netzwerkendpunkte offen sind lässt sich die Webseite manipulieren. Diese Schwachstelle gefährdet die Vertraulichkeit und Integrität signifikant. Klassifiziert ist das Leck unter CVE-2024-37177 mit einem CVSS-Wert von 8.1 und der Risikobewertung "hoch".



Eine weitere gravierende Lücke betrifft SAP NetWeaver AS Java. Dort kann ein Angreifer einen Denial-of-Service-Angriff durchführen. Legitimen Nutzern bleibt dadurch der Zugang verwehrt (CVE-2024-34688, CVSS 7.5, hoch).



```markdown
  • SAP Financial Consolidation: CVE-2024-37177, CVSS 8.1
  • SAP NetWeaver AS Java: CVE-2024-34688, CVSS 7.5

```

Sonstige Sicherheitslücken


Viele SAP-Produkte enthalten ähnlich wie mittlere Sicherheitsrisiken. Betroffen sind unter anderem SAP NetWeaver ABAP Platform & SAP Document Builder. SAP S/4HANA (Manage Incoming Payment Files) und SAP CRM (WebClient UI) und ebenfalls weitere Produkte sind ebenfalls nicht immun gegen Schwachstellen. Beispiele sind auch SAP BW/4HANA Transformation & DTP sowie SAP Student Life Cycle Management (SLcM).



```markdown
### Beispiele mittlerer Risiken in SAP-Produkten:
  • SAP NetWeaver und ABAP Platform
  • SAP Document Builder (HTTP-Service)
  • SAP S/4HANA (Manage Incoming Payment Files)
  • SAP CRM (WebClient UI)
  • SAP BW/4HANA Transformation und DTP
  • SAP Student Life Cycle Management (SLcM)
  • SAP NetWeaver AS Java (Guided Procedures)

```

Eine als gering eingestufte Lücke kann unerlaubt Informationen in der SAP BusinessObjects Business Intelligence Platform (Scheduling) offenbaren.



Aktualisierte Sicherheitsnotizen


Updating war auch angesagt bei älteren Sicherheitsnotizen. So stammt eine ursprüngliche Warnung vor einer Lücke in SAP NetWeaver Application Server ABAP von Mai. Eine Aktualisierung einer Sicherheitsmeldung aus dem Juni 2018 betrifft die Central Finance Infrastructure Components.



Handlungsempfehlungen


Fachleute für IT-Sicherheit sollten dringend die bekannten Sicherheitsprobleme in ihren SAP-Installationen beheben. Ein zeitnahes Einspielen der Updates verkleinert die Angriffsfläche für Cyberattacken signifikant.



Gewiss, am Mai-Patchday wurden sogar 14 Sicherheitslücken in diversen SAP-Produkten geschlossen. Einige davon erlaubten es Angreifern Schadcode einzuschleusen.






Kommentare


Anzeige