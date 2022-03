Im März 2022 hat SAP 16 Sicherheitsbulletins zum Patchday veröffentlicht. Enthalten sind Berichte über zwei neue Schwachstellen mit kritischem Risiko ('Hot News' in Unternehmenssprache), eine mit hohem, acht mit mittlerem und eine mit niedrigem Risiko für Nutzer der Software. Außerdem aktualisiert SAP ältere Sicherheitsmeldungen. Zwei davon betrafen kritische Schwachstellen, zwei weitere welche mit mittlerem Risiko.

In SAP Work Manager und Inventory Manager ermöglicht die Log4j-Sicherheitslücke Angreifern, Schadcode einzuschleusen (CVE-2021-44228, CVSS 10.0, kritisch). Die zweite neue kritische Schwachstelle betrifft den Simple Diagnostics Agent 1.0 von SAP Focused Run (CVE-2022-24396, CVSS 9.3, kritisch). Dieser verlangt keine Authentifizierung bei Zugriffen von localhost . Angreifer könnten dadurch sensible Informationen oder Konfigurationen lesen, verändern oder löschen. Im SAP Fiori Launchpad schlummert zudem eine Cross-Site-Scripting-Schwachstelle, da von Nutzern eingegebene Daten nicht ausreichend enkodiert werden (CVE-2022-26101, CVSS 8.2, hoch).

Weitere betroffene Produkte

Die weiteren Schwachstellen betreffen SAP NetWeaver Enterprise Portal, SAP Financial Consolidation, SAP NetWeaver Application Server for ABAP, SAP Focused Run, SAP Business Objects Business Intelligence Platform, SAPCAR und SAP NetWeaver AS JAVA (Portal Basis).

Auf der offiziellen SAP-Patchday-Webseite sind die Sicherheitsmeldungen für den März zum Zeitpunkt dieser Meldung noch nicht zu finden, jedoch stellt SAP eine PDF-Datei mit Informationen zu den Schwachstellen bereit. Administratoren sollten zeitnah Wartungsfenster zur Aktualisierung der SAP-Software einplanen.

(dmk)