Alert!

SAP-Patchday: Lücke mit Höchstwertung in CA Introscope Enterprise Manager gefixt

SAP-Admins sollten die verfügbaren Sicherheitsupdates zeitnah unter die Lupe nehmen und wo nötig einspielen. Die Risikoeinstufung "High" ist mehrfach vertreten.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 5 Beiträge

(Bild: Shutterstock / heise online (Collage))

Von
  • Olivia von Westernhagen

Wie gewohnt hat auch Software-Hersteller SAP zum monatlichen Patchday eine Übersicht über aktuelle Sicherheitsupdates veröffentlicht. Einer der beseitigten Sicherheitslücken wurde der höchstmögliche CVSS-Score 10.0 (kritisch) zugewiesen. Sieben Lücken wurden mit "High", eine Reihe weiterer mit "Medium" und in einem Fall mit "Low" bewertet. Hohe bis kritische Einstufungen entfielen auf die Produkte CA Introscope Enterprise Manager, auf mehrere Komponenten von NetWeaver, auf Business Objects BI sowie auf SAP Landscape Management.

heise online daily Newsletter

Keine News verpassen! Mit unserem täglichen Newsletter erhalten Sie jeden Morgen alle Nachrichten von heise online der vergangenen 24 Stunden.

Die kritische Lücke CVE-2020-6364 betrifft den CA Introscope Enterprise Manager, genauer: die Komponenten SAP Solution Manager and SAP Focused Run. Offenbar bietet sie potenziellen Angreifern die Möglichkeit, Befehle zu injizieren und zur Ausführung zu bringen (Command Injection). Ein weiteres Sicherheitsrisiko im Enterprise Manager ging offenbar von hardgecodeten, also fest im Code hinterlegten, Zugangsdaten aus (CVE-2020-6369, Einstufung "High"/CVSS-Score 7.5).

Die "High"-Lücken in anderen SAP-Produkten bieten unter anderem Ansatzpunkte für Cross-Site-Scripting, die Ausweitung von Rechten und den unbefugten Zugriff auf Informationen.

Weitere Informationen zu den Sicherheitslücken und den jeweils betroffenen Software-Versionen können Anwender SAPs Übersicht zum Security Patch Day – October 2020 entnehmen. Leider spart der Hersteller mit Details zu Angriffsmöglichkeiten und daraus resultierenden Gefahren.

Registrierte SAP-Kunden finden im passwortgeschützten Supportbereich Update- und weitere Informationen in Form von Security Notes zu den einzelnen Sicherheitslücken, die der Hersteller in der Übersicht verlinkt hat.

Weitere Meldungen zum Oktober-Patchday finden Sie unter anderem hier:

(ovw)