Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.

SAP-Patchday: Updates schließen teils kritische Sicherheitslücken

SAP hat zum Dezember-Patchday neun neue Sicherheitsmitteilungen herausgegeben. Zudem aktualisieren die Walldorfer vier ältere Schwachstellenmeldungen. Eine Lücke stellt ein kritisches Sicherheitsrisiko dar – IT-Verantwortliche sollten die bereitstehenden Aktualisierungen zügig anwenden.

Anzeige

In der Patchday-Übersicht listet SAP die Sicherheitslücken auf, die die Entwickler im Dezember mit Updates ausbessern. Die schwerwiegendste Schwachstelle betrifft SAP NetWeaver AS for Java – oder genauer, es finden sich gleich drei Lücken in den Adobe Document Services. Angreifer mit Admin-Rechten können etwa manipulierte Anfragen durch verwundbare Web-Apps senden und dadurch fälschlicherweise auf Systeme hinter Firewalls zugreifen. Durch Ausnutzen dieser Server-Side Request Forgery können sie beliebige Dateien lesen oder verändern sowie das ganze System lahmlegen (CVE-2024-47578, CVSS 9.1, Risiko "kritisch"). Die beiden weiteren Lücken erreichen mit jeweils einem CVSS-Wert von 6.8 hingegen eine Einstufung als mittleres Risiko.

Durch einen entfernten Funktionsaufruf (Remote Function Call) in SAP NetWeaver Application Server ABAP können angemeldete Angreifer unbefugt auf Informationen zugreifen – etwa Zugangsdaten für Remote-Dienste. Damit können sie diese Dienste vollständig kompromittieren (CVE-2024-54198, CVSS 8.5, hoch). Zudem ermöglicht eine Schwachstelle in SAP NetWeaver Administrator (System Overview) ebenfalls eine Server-Side Request Forgery (CVE-2024-54197, CVSS 7.2, hoch).

Die weiteren Schwachstellen haben die Entwickler als mittleren oder niedrigen Bedrohungsgrad eingestuft. Dennoch sollten IT-Verantwortliche die Sicherheitslücken zeitnah durch Installieren der bereitstehenden Updates schließen. Die vollständige Liste der am Dezember-Patchday behandelten Sicherheitslecks:

Multiple vulnerabilities in SAP NetWeaver AS for JAVA (Adobe Document Services), CVSS 9.1, kritischInformation Disclosure vulnerability through Remote Function Call (RFC) in SAP NetWeaver Application Server ABAP, CVSS 8.5, hochServer-Side Request Forgery in SAP NetWeaver Administrator (System Overview), CVSS 7.2, hochXML Entity Expansion Vulnerability in SAP NetWeaver AS JAVA, CVSS 5.3, mittelInformation Disclosure vulnerability in SAP BusinessObjects Business Intelligence platform, CVSS 5.3, mittelMissing Authorization check in SAP NetWeaver Application Server for ABAP and ABAP Platform, CVSS 4.3, mittelMissing Authorization check in SAP HCM (Approve Timesheets version 4), CVSS 4.3, mittelDLL Hijacking vulnerability in SAP Product Lifecycle Costing, CVSS 3.3, niedrigInformation Disclosure vulnerability in SAP Commerce Cloud, CVSS 2.7, niedrig

Die Entwickler haben außerdem die Sicherheitsmitteilungen zu folgenden Schwachstellen aktualisiert:

Anzeige

Cross-Site Scripting (XSS) vulnerability in SAP Web Dispatcher, CVSS 8.8, hoch, aus dem NovemberNULL Pointer Dereference vulnerability in SAP NetWeaver Application Server for ABAP and ABAP Platform, CVSS 7.5, hoch, aus dem NovemberMultiple Unrestricted File Upload vulnerabilities in SAP BusinessObjects Business Intelligence Platform, CVSS 4.3, mittelMultiple Unrestricted File Upload vulnerabilities in SAP BusinessObjects Business Intelligence Platform, CVSS 4.3, mittel

Am November-Patchday hatte SAP acht neue Sicherheitslücken geflickt und die Sicherheitsmitteilungen zu zwei älteren Schwachstellen ausgebessert.

Jetzt heise Security Pro entdecken

Jetzt heise Security Pro entdecken

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

(Ursprünglich geschrieben von Dirk Knop)
×
Stay Informed

When you subscribe to the blog, we will send you an e-mail when there are new updates on the site so you wouldn't miss them.

OpenWrt: Angreifer hätten bestimmte Images mit Sch...
Wordpress: WPForms-Plug-in reißt Sicherheitsleck i...
 

Kommentare

Derzeit gibt es keine Kommentare. Schreibe den ersten Kommentar!
Bereits registriert? Hier einloggen
Montag, 20. Januar 2025

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Image