SAP hat zum Dezember-Patchday neun neue Sicherheitsmitteilungen herausgegeben. Zudem aktualisieren die Walldorfer vier ältere Schwachstellenmeldungen. Eine Lücke stellt ein kritisches Sicherheitsrisiko dar – IT-Verantwortliche sollten die bereitstehenden Aktualisierungen zügig anwenden.
Anzeige
In der Patchday-Übersicht listet SAP die Sicherheitslücken auf, die die Entwickler im Dezember mit Updates ausbessern. Die schwerwiegendste Schwachstelle betrifft SAP NetWeaver AS for Java – oder genauer, es finden sich gleich drei Lücken in den Adobe Document Services. Angreifer mit Admin-Rechten können etwa manipulierte Anfragen durch verwundbare Web-Apps senden und dadurch fälschlicherweise auf Systeme hinter Firewalls zugreifen. Durch Ausnutzen dieser Server-Side Request Forgery können sie beliebige Dateien lesen oder verändern sowie das ganze System lahmlegen (CVE-2024-47578, CVSS 9.1, Risiko "kritisch"). Die beiden weiteren Lücken erreichen mit jeweils einem CVSS-Wert von 6.8 hingegen eine Einstufung als mittleres Risiko.
Durch einen entfernten Funktionsaufruf (Remote Function Call) in SAP NetWeaver Application Server ABAP können angemeldete Angreifer unbefugt auf Informationen zugreifen – etwa Zugangsdaten für Remote-Dienste. Damit können sie diese Dienste vollständig kompromittieren (CVE-2024-54198, CVSS 8.5, hoch). Zudem ermöglicht eine Schwachstelle in SAP NetWeaver Administrator (System Overview) ebenfalls eine Server-Side Request Forgery (CVE-2024-54197, CVSS 7.2, hoch).
Die weiteren Schwachstellen haben die Entwickler als mittleren oder niedrigen Bedrohungsgrad eingestuft. Dennoch sollten IT-Verantwortliche die Sicherheitslücken zeitnah durch Installieren der bereitstehenden Updates schließen. Die vollständige Liste der am Dezember-Patchday behandelten Sicherheitslecks:
Multiple vulnerabilities in SAP NetWeaver AS for JAVA (Adobe Document Services), CVSS 9.1, kritischInformation Disclosure vulnerability through Remote Function Call (RFC) in SAP NetWeaver Application Server ABAP, CVSS 8.5, hochServer-Side Request Forgery in SAP NetWeaver Administrator (System Overview), CVSS 7.2, hochXML Entity Expansion Vulnerability in SAP NetWeaver AS JAVA, CVSS 5.3, mittelInformation Disclosure vulnerability in SAP BusinessObjects Business Intelligence platform, CVSS 5.3, mittelMissing Authorization check in SAP NetWeaver Application Server for ABAP and ABAP Platform, CVSS 4.3, mittelMissing Authorization check in SAP HCM (Approve Timesheets version 4), CVSS 4.3, mittelDLL Hijacking vulnerability in SAP Product Lifecycle Costing, CVSS 3.3, niedrigInformation Disclosure vulnerability in SAP Commerce Cloud, CVSS 2.7, niedrigDie Entwickler haben außerdem die Sicherheitsmitteilungen zu folgenden Schwachstellen aktualisiert:
Anzeige
Am November-Patchday hatte SAP acht neue Sicherheitslücken geflickt und die Sicherheitsmitteilungen zu zwei älteren Schwachstellen ausgebessert.
(
Kommentare