Alert!

Patchday: SAP-Updates versperren Angriffswege über teils kritische Lücken

Neben einer NetWeaver-Schwachstelle mit dem CVSS-"Highscore" 10 hat SAP zum Patchday noch zahlreiche weitere Sicherheitsprobleme aus seinen Produkten entfernt.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen
Von
  • Olivia von Westernhagen

Softwarehersteller SAP hat zum Patchday insgesamt drei kritische Schwachstellen aus NetWeaver Application Server for Java, aus der BusinessObjects BI-Plattform und aus Business Warehouse entfernt. Zudem beseitigen Aktualisierungen für den SAP Solution Manager, NetWeaver AS ABAP und SAP S4 HANA zwei Schwachstellen mit "High"-Einstufung.

Fixes für fünf "Medium"- und eine "Low"-Lücke sowie Aktualisierungen für Sicherheitshinweise früherer Patchdays vervollständigen die Sicherheitsupdate-Veröffentlichungen für Dezember. SAPs Advisory zum Security Patchday fasst wie immer sämtliche Aktualisierungen zusammen.

Bei den drei als kritisch (SAP-interne Bezeichnung "Hot News") bewerteten Lücken handelt es sich um fehlende Authentifizierungsüberprüfungen und XML-Validierungsmechanismen sowie um die Möglichkeit einer Code Injection. Im Einzelnen betreffen sie folgende Software-Versionen:

  • CVE-2020-26829 (CVSS 10): NetWeaver AS JAVA (P2P Cluster Communication) 7.11, 7.20, 7.30, 7.31, 7.40, 7.50
  • CVE-2020-26831 (CVSS 9.6): SAP BusinessObjects BI (Crystal Report) 4.1, 4.2, 4.3
  • CVE-2020-26838 (CVSS 9.1): SAP Business Warehouse 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 782; SAP BW4HANA 100, 200

Weitere Informationen, auch zu verfügbaren Updates, sind SAPs Advisory und den darin verlinkten Security Notes im passwortgeschützten Supportbereich entnehmen.

Lesen Sie auch

(ovw)