SAP veröffentlicht 13 neue Sicherheitsmitteilungen – kritische Schwachstelle erfordert sofortige Updates
SAP hat im Rahmen des Februar-Patchdays insgesamt 13 neue Sicherheitsmitteilungen veröffentlicht, in denen auf Schwachstellen hingewiesen wird. Eine dieser Schwachstellen wurde als kritisch eingestuft und IT-Verantwortliche, die SAP-Installationen betreuen, sollten die Updates umgehend herunterladen und installieren.
Die schwerwiegendste Sicherheitslücke betrifft SAP ABA (Application Basis), wie in der Patchday-Sammelmitteilung von SAP erwähnt wird. Angemeldete Angreifer mit Ausführungsrechten können diese Schwachstelle ausnutzen und unautorisierte Aktionen durchführen, wie zum Beispiel das Lesen und Ändern von Daten oder sogar das Lahmlegen des gesamten Systems (CVE-2024-22131, CVSS 9.1, kritisches Risiko).
Des Weiteren wurden fünf weitere Sicherheitslücken als hoch eingestuft. In NetWeaver AS Java wurden eine Cross-Site-Scripting-Schwachstelle (CVE-2024-22126, CVSS 8.8, hoch) und eine XML External Entity (XXE)-Schwachstelle (CVE-2024-24743, CVSS 8.6, hoch) behoben. Zudem wurde eine Cross-Site-Scripting-Schwachstelle in SAP CRM (CVE-2024-22130, CVSS 7.6, hoch) geschlossen. Weitere Schwachstellen wurden in SAP IDES-Systemen (CVE-2024-22132, CVSS 7.4, hoch) und in SAP Cloud (CVE-2024-25642, CVSS 7.4, hoch) behoben.
Darüber hinaus wurden auch sieben Sicherheitslücken mit mittlerem Bedrohungsgrad geschlossen. Die betroffenen Komponenten umfassen SAP Bank Account Management, SAP Companion, SAP Netweaver Application Server ABAP, SAP Netweaver Business Client for HTML, SAP Fiori App, SAP Master Data Governance Material und erneut SAP CRM.
SAP hat außerdem ältere Sicherheitsmeldungen aktualisiert. Die aktualisierte Version des SAP Business Clients enthält eine Chrome-Browser-Version, die Sicherheitslücken schließt. Zudem wurden weitere Verbesserungen an einer bereits im Dezember identifizierten Datenleck-Schwachstelle in SAP GUI für Windows und Java vorgenommen. Auch die Meldung über eine Directory-Traversal-Schwachstelle in SAP Master Data Governance, die im Dezember veröffentlicht wurde, wurde aktualisiert.
Bereits im Januar-Patchday hat SAP insgesamt zehn Sicherheitslücken in der Business-Software behoben, wobei einige als kritisches Sicherheitsrisiko eingestuft wurden. Es ist daher ratsam, die regelmäßigen Updates von SAP zeitnah zu installieren, um das Risiko von Sicherheitslücken zu minimieren.
Schlagwörter: SAP ABA + CVSS + NetWeaver AS Java
Wie bewerten Sie den Schreibstil des Artikels?