SAP hat am gestrigen Dienstag eine Reihe von Sicherheitslücken in seiner betriebswirtschaftlichen Software geschlossen. Neben zahlreichen Problemen mit "Medium"-Einstufung behob das Unternehmen auch eine kritische Lücke in NetWeaver (CVSS-v3-Score 9.1), über die Angreifer die Kontrolle über die Anwendung erlangen könnten, sowie mehrere nicht näher beschriebene Sicherheitsrisiken, die mit der Einstufung "High" (7.7) zusammengefasst wurden.

Zudem nahm SAP drei Aktualisierungen an älteren Sicherheitshinweisen vor, die ebenfalls kritische Lücken betreffen. SAP-Kunden sollten bereitstehende Updates umgehend einspielen.

NetWeaver-Lücke und aktualisierte Security Notes

Wie aus SAPs Advisory zum September-Patchday hervorgeht, steckt die kritische Lücke in einem API der NetWeaver-Komponente Application Server Java (ENGINEAPI). Sie ermöglicht einem Angreifer das Injizieren von Code, der dann im Kontext von NetWeaver ausgeführt wird und über den er schlimmstenfalls die Kontrolle über die Anwendung übernehmen kann. Betroffen sind die NetWeaver-Versionen 7.10, 7.20, 7.30, 7.31, 7.40 und 7.50.

Weitere Details zur Lücke mit der CVE-Nummer CVE-2019-0355 sowie Informationen zu verfügbaren Updates finden Kunden, indem sie im Advisory auf die verlinkte Security Note (in diesem Fall 2798336) klicken und sich anschließend über das Support-Launchpad in ihrem Account anmelden. Das gilt übrigens gleichermaßen auch für alle anderen Sicherheitslücken.

Weiterhin sollten Nutzer auch einen Blick auf die aktualisierten Security Notes 2622660 von April 2018 (betraf eine kritische Lücke im SAP Business Client in Version 6.5) und 2823733 beziehungsweise 2808158 (beide beziehen sich auf eine Note von Juli 2019 / den SAP Diagnostic Agent (LM-Service) in Version 7.20) werfen.

Wichtiges Update für SAP HANA

Mehrere unter der CVE-Nummer CVE-2019-0363 zusammengefasste Probleme mit "High"-Einstufung betreffen die Entwicklungs- und Integrationsplattform SAP HANA in allen Versionen vor 1.0.118. Details nennt SAP im Advisory nicht; Kunden erfahren Näheres in der Security Note 2817491.

Die "Medium"-Lücken betreffen unter anderem ebenfalls HANA, SAP Business One sowie die Business Objects Business Intelligence Platform; eine weitere Lücke geringen Schweregrads ("Low") steckt ebenfalls in Business One. (ovw)