Quantcast
Aktuelles
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Hardware & Software Alert! Patchday: Kritische Sicherheitslücken in SAP-Geschäftssoftware

SAP hat Sicherheitsupdates zum Schließen von 15 Sicherheitslücken freigegeben. Fünf davon weist das Unternehmen als aktualisierte Meldungen respektive Flicken aus den Vormonaten aus, zehn hingegen sind neu. Die Schwachstellen erlaubten Angreifern unter anderem Schadcode einzuschleusen und auszuführen, SQL-Befehle via SQL-Injection zu injizieren und Cross-Site-Scripting- oder Denial-of-Service-Angriffe auszuführen.

SAP-Administratoren sollten aufgrund der Risikoeinstufung der Lücken zeitnah aktiv werden und ihre Systeme auf den aktuellen Stand bringen.

Die kritischen Lücken finden sich im ausgelieferten Google Chrome vom SAP Business Client 6.5 (CVSS 10), in SAP Commerce in der chinesisch lokalisierten Fassung, SAP ABAP Server & ABAP Platform (Translation Tools) und SAP NZDT Mapping Table Framework (alle drei CVSS 9.9). Schwachstellen mit hohem Risiko betreffen SAP Commerce (CVSS 8.8 sowie 7.5), SAP Knowledge Warehouse (CVSS 8.8), SAP NetWeaver AS ABAP (CVSS 8.4), SAP SuccessFactors Mobile Application für Android (CVSS 7.8) und SAF-T Framework (7.7). Weitere vier Schwachstellen stuft SAP als mittleres sowie eine als niedriges Risiko ein.

Details zu den Schwachstellen​

Das Walldorfer Unternehmen hält sich wie gewohnt mit weitergehenden Details zu den Sicherheitslücken zurück. Die Übersichtsseite zum SAP-Dezember-Patchday listet die einzelnen Sicherheitsmeldungen auf, die jedoch nur angemeldeten Nutzern zugänglich sind. Einzelne CVE-Einträge weisen etwa bei der chinesisch lokalisierten SAP Commerce-Version auf die Serialisierungs-Bibliothek Xstream als Ursache für die kritische Sicherheitslücke. Viele CVEs sind jedoch noch reserviert und enthalten keine öffentlich zugänglichen Informationen.
Quelle: heise
 
Zurück
Oben