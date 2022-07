Das Walldorfer Unternehmen SAP hat zum Juli-Patchday 20 neue Sicherheitslücken gemeldet und aktualisiert Berichte zu drei alten Schwachstellen. Von den neuen Lücken gelten vier als Bedrohungsgrad hoch, 15 als mittel und eine als niedrig,

Grobe Zusammenfassung

Ähnlich wie Google veröffentlicht SAP keine Details zu den Sicherheitslücken, sondern liefert nur einen grobschlächtigen Überblick. Als hohes Risiko betrachtet SAP etwa eine Schwachstelle in der SAP BusinessObjects Business Intelligence Platform. Darin könnten sensible Informationen abfließen (CVE-2022-35228, CVSS 8.3, Risiko "hoch").

Eine ebensolche Lücke findet sich auch in SAP Business One (CVE-2022-32249, CVSS 7.6, hoch). Zudem fehlt in Business One eine Authentifizierungsprüfung (CVE-2022-28771, CVSS 7.5, hoch) und die Software lässt sich Code injizieren (CVE-2022-31593, CVSS 7.4, hoch).

Weiter meldet SAP Schwachstellen mittleren Schweregrads nach absteigendem Risiko sortiert in SAP BusinessObjects Business Intelligence Platform 4.x, SAP NetWeaver Enterprise Portal, SAP Enterprise Portal, SAP NetWeaver Enterprise Portal (WPC), SAP BusinessObjects Business Intelligence Platform (LCM), SAP BusinessObjects (BW Publisher Service), SAP BusinessObjects Business Intelligence Platform (Visual Difference Application), SAP Business Objects, SAPS/4HANA Geschäftspartner-Erweiterung für Spanien/Slowakai, Manage Checkbooks-Komponente von SAPS/4HANA und in SAP Enterprise Extension Defense Forces & Public Security.

Lesen Sie auch 50 Jahre SAP: Entwicklung des Unternehmens von 1972 bis heute

Schließlich gibt es noch eine Lücke von niedrigem Risiko in SAP 3D Visual Enterprise Viewer. In der Sicherheitsmeldung zum Patchday von SAP verlinkt der Hersteller die CVE-Einträge sowie Detailinformationen im Launchpad genannten Insider-Bereich der Webseite. Darauf haben nur Administratoren als SAP-Kunden Zugriff. Dort finden sich dann auch Informationen zu den Aktualisierungen selber.

IT-Verantwortliche sollten zügig ein Wartungsfenster für die Aktualisierungen einplanen, damit Cyberkriminelle die Sicherheitslücken nicht zum Infiltrieren des Netzwerkes missbrauchen können.

Lesen Sie auch Patchday: Updates bessern zehn SAP-Schwachstellen aus

(dmk)