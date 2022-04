Am April-Patchday dieses Jahres dichtet SAP zahlreiche Sicherheitslücken in mehreren Produkten ab. Von den 21 neuen Meldungen behandeln zwei Sicherheitslücken mit der Einstufung als kritisches Risiko (von SAP als Hot News bezeichnet), drei Lücken mit hohem Risiko, 15 Schwachstellen mit mittlerer Gefahr sowie eine mit niedrigem Risiko für die Nutzer.

SAP hat gleich zwei Sicherheitsmeldungen zur Spring4Shell-Lücke veröffentlicht (CVE-2022-22965, CVSS 9.8, kritisch). Eine ist angemeldeten Nutzern vorbehalten und stellt offenbar eine zentrale Sammelmeldung dar, die andere beschreibt die konkret durch Spring4Shell aufgerissene Schwachstelle in SAP HANA Extended Application Services.

Weite Risiko-Spanne

Sicherheitslücken mit einem hohen Risiko betreffen SAP Business Intelligence Platform, SAP Web Dispatcher und SAP Netweaver (Internet Communication Manager) sowie SAP Commerce. Mittleres Risiko bedeuten für Nutzer die Schwachstellen in SAP BusinessObjects Platform, SAP 3D Visual Enterprise Viewer, SAP SQL Anywhere Server, SAP NetWeaver (EP Web Page Composer), SAPUI5, SAP NetWeaver Enterprise Portal, SAP BusinessObjects Business Intelligence Platform, SAP NetWeaver Application Server for Java, SAP Web Dispatcher und SAP Netweaver (Internet Communication Manager), SAP NetWeaver ABAP Server und ABAP Platform, SAP Innovation Management und schließlich in SAP BusinessObjects Business Intelligence Platform (BI Workspace).

Die Schwachstelle mit niedrigem Gefahrenpotenzial hat SAP in SAP Focused Run (Simple Diagnostics Agent) entdeckt. Die Auflistung der Sicherheitslücken, die SAP lediglich in PDF-Form bereitstellt wie schon im März 2022, enthält Verknüpfungen auf die einzelnen Sicherheitsmeldungen. Diese können Administratoren erst nach Eingabe ihrer Zugangsdaten bei SAP einsehen.

Für die verwundbaren Produkte hat das Unternehmen Aktualisierungen bereitgestellt, die die Sicherheitslücken schließen. IT-Verantwortliche sollten zügig ein Wartungsfenster einplanen, um die Lecks abzudichten. Insbesondere mit Hinblick auf die angespannte IT-Sicherheitslage aufgrund des Angriffskrieges auf die Ukraine. Angreifer könnten derzeit besonders schnell versuchen, bekannt gewordene Schwachstellen zur Kompromittierung von Netzen zu missbrauchen.

