SAP hat Sicherheitsupdates zum Schließen von 15 Sicherheitslücken freigegeben. Fünf davon weist das Unternehmen als aktualisierte Meldungen respektive Flicken aus den Vormonaten aus, zehn hingegen sind neu. Die Schwachstellen erlaubten Angreifern unter anderem Schadcode einzuschleusen und auszuführen, SQL-Befehle via SQL-Injection zu injizieren und Cross-Site-Scripting- oder Denial-of-Service-Angriffe auszuführen.
SAP-Administratoren sollten aufgrund der Risikoeinstufung der Lücken zeitnah aktiv werden und ihre Systeme auf den aktuellen Stand bringen.
Die kritischen Lücken finden sich im ausgelieferten Google Chrome vom SAP Business Client 6.5 (CVSS 10), in SAP Commerce in der chinesisch lokalisierten Fassung, SAP ABAP Server & ABAP Platform (Translation Tools) und SAP NZDT Mapping Table Framework (alle drei CVSS 9.9). Schwachstellen mit hohem Risiko betreffen SAP Commerce (CVSS 8.8 sowie 7.5), SAP Knowledge Warehouse (CVSS 8.8), SAP NetWeaver AS ABAP (CVSS 8.4), SAP SuccessFactors Mobile Application für Android (CVSS 7.8) und SAF-T Framework (7.7). Weitere vier Schwachstellen stuft SAP als mittleres sowie eine als niedriges Risiko ein.
Quelle: heise
SAP-Administratoren sollten aufgrund der Risikoeinstufung der Lücken zeitnah aktiv werden und ihre Systeme auf den aktuellen Stand bringen.
Die kritischen Lücken finden sich im ausgelieferten Google Chrome vom SAP Business Client 6.5 (CVSS 10), in SAP Commerce in der chinesisch lokalisierten Fassung, SAP ABAP Server & ABAP Platform (Translation Tools) und SAP NZDT Mapping Table Framework (alle drei CVSS 9.9). Schwachstellen mit hohem Risiko betreffen SAP Commerce (CVSS 8.8 sowie 7.5), SAP Knowledge Warehouse (CVSS 8.8), SAP NetWeaver AS ABAP (CVSS 8.4), SAP SuccessFactors Mobile Application für Android (CVSS 7.8) und SAF-T Framework (7.7). Weitere vier Schwachstellen stuft SAP als mittleres sowie eine als niedriges Risiko ein.
Details zu den Schwachstellen
Das Walldorfer Unternehmen hält sich wie gewohnt mit weitergehenden Details zu den Sicherheitslücken zurück. Die Übersichtsseite zum SAP-Dezember-Patchday listet die einzelnen Sicherheitsmeldungen auf, die jedoch nur angemeldeten Nutzern zugänglich sind. Einzelne CVE-Einträge weisen etwa bei der chinesisch lokalisierten SAP Commerce-Version auf die Serialisierungs-Bibliothek Xstream als Ursache für die kritische Sicherheitslücke. Viele CVEs sind jedoch noch reserviert und enthalten keine öffentlich zugänglichen Informationen.Quelle: heise