Zum Patchday im November gibt SAP neun neue Sicherheitsmeldungen und zugehörige Updates heraus. Zudem aktualisiert das Unternehmen zwei ältere Warnungen. Da einige der Lücken als kritisch gelten, sollten IT-Verantwortliche rasch ein Wartungsfenster zum Installieren der bereitgestellten Aktualisierungen einplanen.
So führt die SAP BusinessObjects Business Intelligence Platform (Central Management Console und BI Launchpad) unter Umständen eine unsichere Deserialisierung von nicht vertrauenswürden (also in der Regel von Nutzern übergebenen) Daten durch (CVE-2022-41203, CVSS 9.9, Risiko "kritisch"). Die Risikoeinstufung legt nahe, dass Angreifer aus dem Netz die Schwachstelle leicht missbrauchen können, um Schadcode einzuschleusen und die Software zu kompromittieren.
Zudem meldet SAP mehrere Sicherheitslücken durch das mitgelieferte SQlite von SAPUI5 (CVE-2021-20223, CVE-2022-35737; CVSS 9.8, kritisch). Weitere Sicherheitslücken betreffen SAP NetWeaver Application Server ABAP und ABAP Platform (CVE-2022-41212, CVSS 8.7, hoch). Außerdem könnten Angreifer aufgrund eines Stack-basierten Pufferüberlaufs in SAP 3D Visual Enterprise Author und SAP 3D Visual Enterprise Viewer beliebigen Code einschleusen und ausführen (CVE-2022-41211, CVSS 7.0, hoch).
Weitere Schwachstellen, die SAP nur als mittleres Risiko einstuft, finden sich noch in SAP SQL Anywhere, SAP Biller Direct, SAP GUI für Windows sowie SAP NetWeaver ABAP Server und ABAP Platform.
In der
Zum
Quelle: heise
Kritische Lücken
Auch SAP hält sich wie andere große Unternehmen zunächst mit der Veröffentlichung von Details zu den Sicherheitslücken vornehm zurück. Die Entwickler geben jedoch Hinweise, die die Lücken grob beschreiben.So führt die SAP BusinessObjects Business Intelligence Platform (Central Management Console und BI Launchpad) unter Umständen eine unsichere Deserialisierung von nicht vertrauenswürden (also in der Regel von Nutzern übergebenen) Daten durch (CVE-2022-41203, CVSS 9.9, Risiko "kritisch"). Die Risikoeinstufung legt nahe, dass Angreifer aus dem Netz die Schwachstelle leicht missbrauchen können, um Schadcode einzuschleusen und die Software zu kompromittieren.
Zudem meldet SAP mehrere Sicherheitslücken durch das mitgelieferte SQlite von SAPUI5 (CVE-2021-20223, CVE-2022-35737; CVSS 9.8, kritisch). Weitere Sicherheitslücken betreffen SAP NetWeaver Application Server ABAP und ABAP Platform (CVE-2022-41212, CVSS 8.7, hoch). Außerdem könnten Angreifer aufgrund eines Stack-basierten Pufferüberlaufs in SAP 3D Visual Enterprise Author und SAP 3D Visual Enterprise Viewer beliebigen Code einschleusen und ausführen (CVE-2022-41211, CVSS 7.0, hoch).
Weitere Schwachstellen, die SAP nur als mittleres Risiko einstuft, finden sich noch in SAP SQL Anywhere, SAP Biller Direct, SAP GUI für Windows sowie SAP NetWeaver ABAP Server und ABAP Platform.
Altlasten
Administratoren finden hinter der Anmeldeschranke zudem aktualisierte Informationen zu der kritischen Lücke aus dem Oktober, die Kontenübernahme mittels URL-Umleitungen im SAP Commerce Log-in-Formular ermöglichte. Zudem gibt es ein Update der Sicherheitsnotizen zu einer hochriskanten Lücke aus dem Juli, die die Rechteausweitung in der SAP SuccessFactors Attachment- API für Mobile Application (Android und iOS) erlaubte.In der
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
verlinkt das Unternehmen auf die eigene Webseite, wo Administratoren mit ihren Zugangsdaten an nähere Informationen sowie die Aktualisierungen gelangen können. Da einige der Schwachstellen als kritisch gelten, sollten Administratoren die Aktualisierungen sehr zeitnah anwenden.Zum
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
. Auch da stufte der Hersteller zwei Schwachstellen als kritisch ein.Quelle: heise
