zurück zum Artikel

SAP: 13 neue Sicherheitswarnungen zum Februar-Patchday

Alert! Dirk Knop

(Bild: heise online)

SAP verteilt Software-Updates, die Schwachstellen aus 13 Sicherheitsmitteilungen ausbessern. Eine Lücke ist kritisch.

SAP geht zum Februar-Patchday Schwachstellen in 13 neuen Sicherheitsmitteilungen an. Eine davon hat die Risikoeinstufung "kritisch" erhalten. IT-Verantwortliche mit SAP-Installationen sollten die Aktualisierungen zügig herunterladen und anwenden.

Die gravierendste Sicherheitslücke ist laut SAPs Sammelmitteilung zum Patchday [1] in SAP ABA (Application Basis) zu finden. Laut Schwachstellenbeschreibung [2] können als Nutzer angemeldete Angreifer mit Ausführungsrechten eine verwundbare Schnittstelle missbrauchen und damit unbefugte Aktionen ausführen, etwa Daten lesen und verändern oder sogar das ganze System lahmlegen (CVE-2024-22131, CVSS 9.1, Risiko "kritisch").

Insgesamt 13 Schwachstellen in SAP-Software

Fünf weitere Sicherheitslücken erhalten die Risiko-Einstufung "hoch". In NetWeaver AS Java stopft SAP etwa eine Cross-Site-Scripting-Lücke (CVE-2024-22126, CVSS 8.8, hoch) und eine XXE-Lücke (XML External Entity) (CVE-2024-24743, CVSS 8.6, hoch), eine Cross-Site-Scripting-Lücke in SAP CRM (CVE-2024-22130, CVSS 7.6, "hoch"), eine Codeschmuggel-Schwachstelle in SAP IDES-Systemen (CVE-2024-22132, CVSS 7.4, hoch) und schließlich eine unangemessene Zertifikat-Prüfung in SAP Cloud Connector (CVE-2024-25642, CVSS 7.4, hoch).

Zudem haben die Programmierer sieben Sicherheitslücken mit mittlerem Bedrohungsgrad geschlossen. Die betreffen SAP Bank Account Management, SAP Companion, SAP Netweaver Application Server ABAP, SAP Netweaver Business Client for HTML, SAP Fiori App, SAP Master Data Governance Material und noch mal SAP CRM.

Alte Sicherheitsmeldungen hat SAP ebenfalls aktualisiert. Der mitgelieferte Chrome-Browser vom SAP Business Client schließt in aktualisierter Fassung Sicherheitslücken, außerdem gibt es Ergänzungen bei einer Datenleck-Lücke in SAP GUI für Windows und für Java aus dem Dezember. Von da stammte auch die Meldung einer Directory-Traversal-Schwachstelle in SAP Master Data Governance, die auf neuen Stand gebracht wurde.

Am Januar-Patchday hatte SAP noch zehn Sicherheitslücken in der Business-Software [3] gestopft. Auch davon waren einige als kritisches Sicherheitsrisiko eingestuft.

(dmk [4])

URL dieses Artikels:
https://www.heise.de/-9626592

Links in diesem Artikel:
[1] https://support.sap.com/en/my-support/knowledge-base/security-notes-news/february-2024.html
[2] https://www.cve.org/CVERecord?id=CVE-2024-22131
[3] https://www.heise.de/news/SAP-Patchday-Teils-kritische-Luecken-in-Geschaeftssoftware-9591479.html
[4] mailto:dmk@heise.de

Copyright © 2024 Heise Medien