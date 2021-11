Am allmonatigen Patchday im November hat SAP Advisories zu sieben Sicherheitslücken veröffentlicht. Davon fällt ein Leck mit einem CVSS-Wert von 9.6 als kritisch auf. Zwei Schwachstellen stuft der Hersteller als mit hohem Risiko behaftet ein, vier weitere als mittelschwer.

Die kritische Sicherheitslücke im SAP ABAP Platform Kernel betrifft eine fehlende Autorisationsprüfung (CVE-2021-40501). Mit weiteren Details hält sich das Unternehmen wie üblich bedeckt; SAP-Administratoren können mit Zugangsdaten jedoch Zugriff auf weiterführende Dokumente im Support-Bereich in der Patchday-Übersicht finden.

Eine ebensolche fehlende Autorisationsprüfung findet sich in SAP Commerce. Da schätzt das Unternehmen das Risiko jedoch lediglich als hoch mit einem CVSS-Score von 8.3 ein (CVE-2021-40502). Die nächsthöchste Risikobewertung von 7.5 erhält eine bereits im Oktober 2020 bearbeitete Sicherheitslücke im CA Introscope Enterprise Manager und betrifft hartkodierte Zugangsdaten – hier hat SAP eine Aktualisierung des Advisories vorgenommen.

Mittelschwere Risiken

Mit mittlerem Risiko stuft SAP weitere Sicherheitslecks in der SAP GUI für Windows ein, wodurch Informationen Nutzern unberechtigterweise zugänglich gemacht werden könnten. Weiterhin betroffen ist die portugiesische Version von SAP ERP HCM, worin ebenfalls eine Autorisationsprüfung fehlt. Diese fehlte auch in SAP ERP Financial Accounting und wurde eigentlich im September 2021 bereits behandelt – aber auch hier gibt es eine Aktualisierung der Sicherheitsmeldung von SAP.

Die letzte gemeldete Schwachstelle findet sich im Netweaver Application Server für ABAP und ermöglicht das Erweitern der Zugriffsrechte. SAP-Administratoren sollten ein Maintenance-Fenster für die Aktualisierungen einplanen und die bereitgestellten Aktualisierungen zeitnah einspielen.

(dmk)