Alert!

SAP-Patchday: Kritische Lücken aus SAP MII und NetWeaver AS für Java beseitigt

SAP hat unter anderem zwei Sicherheitslücken in Manufacturing Integration and Intelligence (MII) & NetWeaver AS JAVA mit CVSS-Scores nahe der 10 geschlossen.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen
Von
  • Olivia von Westernhagen

Gleich zwei Sicherheitslücken hat Software-Hersteller SAP in seinem aktuellen Patchday-Advisory als "Hot News" – und damit als kritisch – gekennzeichnet. Sie betreffen mehrere Versionen von SAP Manufacturing Integration and Intelligence (CVE-2021-21480, CVSS-Score 9.9 von 10) und von NetWeaver Application Server für Java (MigrationService; CVE-2021-21481, CVSS-Score 9.6).

SAP hat abgesicherte Versionen bereitgestellt. Weitere Updates beseitigen außerdem eine Schwachstelle mit "High"-Einstufung aus SAP HANA 2.0 (CVE-2021-21484, Umgehung von Authentifizierungsmechanismen) sowie mehrere "Medium"-Schwachstellen aus weiteren Produkten. Eine vollständige Übersicht bietet wie immer SAPs Security Patchday Advisory für März 2021. Die Zusammenfassung weist auch auf einige aktualisierte Sicherheitshinweise aus den Vormonaten hin, auf die Anwender der betreffenden Produkte ebenfalls einen Blick werfen sollten.

Die "Hot News"-Schwachstelle in SAP Manufacturing Integration and Intelligence (MII) betrifft die Versionen 15.1, 15.2, 15.3, 15.4. Sie könnte von einem Angreifer mit niedrigen Zugriffsrechten aus der Ferne missbraucht werden, um mittels Code Injection Java-Code auf dem jeweiligen Server auszuführen und auf diese Weise die eigenen Rechte auszuweiten. Anschließend könnte er etwa sensible Daten auslesen, modifizieren oder löschen.

Die zweite kritische Schwachstelle steckt im Migration Service von SAP NetWeaver AS JAVA in den Versionen 7.10, 7.11, 7.30, 7.31, 7.40, 7.50. Sie ist aus benachbarten Netzwerken ("adjacent networks") ausnutzbar und fußt auf einer nicht durchgeführten Authorisierungsüberprüfung. Ein unauthentifizierter Angreifer könnte sich in der Folge selbst Admin-Rechte zuweisen und das verwundbare System letztlich vollständig kompromittieren.

Weitere Details zu den beiden Schwachstellen sind zwei Einträgen in der National Vulnerability Database (NVD) zu entnehmen. Informationen zu verfügbaren Updates können registrierte SAP-Kunden über die Security-Notes im Patchday-Advisory abrufen.

Lesen Sie auch

(ovw)