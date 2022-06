Zehn neue und zwei alte Sicherheitslücken, so lautet die Bilanz des Juni-Patchdays von SAP. Für die zehn neuen Schwachstellen stellt der Hersteller Updates bereit, die die Fehler beseitigen. Für die zwei alten Lücken aktualisiert er die Informationen in den Sicherheitsmeldungen.

Die aktualisierten Meldungen betreffen zum einen den mitgelieferten Google Chromium-Browser des SAP Business-Clients. Die darin behobenen Fehler stuft SAP als kritisches Sicherheitsrisiko ein (CVSS 10). Zum anderen ist SAP NetWeaver Application Server für ABAP und ABAP Platform betroffen, in dem es eine fehlende Autorisierungsprüfung gab (CVSS 6.5, mittel).

Neu entdeckte SAP-Sicherheitslücken

Von den neu geschlossenen Sicherheitslücken stufen die Entwickler von SAP zwei als hohes Risiko, sechs als mittleren und zwei als niedrigen Schweregrad ein. Dazu gehört eine unzureichende Zugriffskontrolle in SAProuter fur SAP NetWeaver und ABAP Platform (CVE-2022-27668, CVSS 8.6, hoch). In SAP PowerDesigner Proxy 16.7 war es Angreifern möglich, ihre Rechte auszuweiten (CVE-2022-31590, CVSS 7.8, hoch).

Die weiteren Schwachstellen betreffen SAP 3D Visual Enterprise Viewer, SAP NetWeaver Development Infrastructure (Design Time Repository), SAP NetWeaver, ABAP Platform and SAP Host Agent, SAP ERP, SAP Financial Consolidation, SAP startservice von SAP NetWeaver AS ABAP, AS Java, ABAP Platform und HANA Database, Apache log4j-1.x-Komponente in SAP Netweaver Developer Studio (NWDS) sowie SAP Adaptive Server Enterprise (ASE).

In der Patchday-Meldung von SAP verlinken die Autoren die zugehörigen Artikel des Herstellers, die Adminstratoren mit ihren Log-in-Daten zugreifen können. Da zwei der Sicherheitslücken eine Einstufung als hohes Risiko erhalten haben, empfiehlt sich das rasche Installieren der bereitgestellten Aktualisierungen.

(dmk)