Kritische Lücken in SAP-Software geschlossen | heise Security

Admins, die betriebswirtschaftliche Software von SAP verwalten, sollten die aktuelle Sicherheitswarnung des Entwicklers studieren. Einige Produkte sind über als kritisch eingestufte Lücken angreifbar. Insgesamt hat SAP an diesem Patchday elf Sicherheitsnotizen veröffentlicht.

Als kritisch gelten die Schwachstellen in Cloud Connector (CVE-2019-0246) und Landscape Management (CVE-2019-0249). Setzen Angreifer dort an, könnten sie unter Umständen Schadcode ausführen oder auf eigentlich abgeschottete Informationen zugreifen.

Die Lücke (CVE-2019-0243) in BW/4HANA ist mit dem Bedrohungsgrad “hoch” eingestuft. Ein erfolgreiches Ausnutzen könnte einem Angreifer höhere Rechte verschaffen. Die verbleibenden Schwachstellen hat SAP mit der Priorität “mittel” gekennzeichnet. Darunter finden sich beispielsweise eine DoS-Lücke und mehrere XSS-Schwachstellen in etwa Work and Inventory Manager und Commerce.

SAP-Kunden finden im Support-Portal des Softwareherstellers weitere Infos zu den Sicherheitsproblemen.

(des)

Source