Hardware & Software Alert! Patchday: SAP schließt fünf Sicherheitslücken

Der August-Patchday von SAP bedeutet für Administratoren vergleichweise geringen Aufwand, da der Hersteller lediglich fünf Meldungen zu Sicherheitslücken in den Business-Produkten veröffentlicht hat. Zudem gab es Aktualisierungen von zwei älteren Fehlerberichten.

Verwundbare SAP-Produkte​

Die schwerwiegendste Schwachstelle betrifft SAP BusinessObjects Business Intelligence Platform (Open Document). Angreifer könnten unbefugt an Informationen gelangen (CVE-2022-32245, CVSS 8.2, Risiko "hoch"). Weitere Schwachstellen ermöglichen den Informationsabfluss im SAP Authenticator for Android (CVE-2022-35290, CVSS 5.3, mittel), SAP BusinessObjects Business Intelligence Platform (MonitoringDB) (CVE-2022-31596, CVSS 5.2, mittel) sowie in SAP BusinessObjects Business Intelligence Platform (CommentaryDB) (CVE-2022-32244, CVSS 5.2, mittel).

Zudem gibt es im SAP Enable Now Manager eine fehlende Autorisierungsprüfung (CVE-2022-35293, CVSS 4.2, mittel). Die aktualisierten Fehlermeldungen betreffen einerseits den mitgelieferten Google Chrome-Browser beim SAP Business Client sowie möglichen Umgehungen von Laufzeit-Prüfungen von inBC-MID-RFC in SAP Netweaver.
Nähere Details nennt . SAP-Administratoren können mit ihrem Zugang jedoch an die Downloads der aktualisierten Software sowie die detaillierten Fehlerberichte gelangen, die in der Patchday-Meldung verlinkt sind.

Die bereitgestellten Aktualisierungen sollten Administratoren im nächsten geplanten Wartungszeitraum installieren, um die Angriffsfläche zu minimieren. Anders als im Juli sollte das jedoch zügig gelingen – .
Quelle: heise