Schlagwort: SAP SE

Kritische Lücken in SAP-Software geschlossen | heise Security

Admins, die betriebswirtschaftliche Software von SAP verwalten, sollten die aktuelle Sicherheitswarnung des Entwicklers studieren. Einige Produkte sind über als kritisch eingestufte Lücken angreifbar. Insgesamt hat SAP an diesem Patchday elf Sicherheitsnotizen veröffentlicht.

Als kritisch gelten die Schwachstellen in Cloud Connector (CVE-2019-0246) und Landscape Management (CVE-2019-0249). Setzen Angreifer dort an, könnten sie unter Umständen Schadcode ausführen oder auf eigentlich abgeschottete Informationen zugreifen.

Die Lücke (CVE-2019-0243) in BW/4HANA ist mit dem Bedrohungsgrad “hoch” eingestuft. Ein erfolgreiches Ausnutzen könnte einem Angreifer höhere Rechte verschaffen. Die verbleibenden Schwachstellen hat SAP mit der Priorität “mittel” gekennzeichnet. Darunter finden sich beispielsweise eine DoS-Lücke und mehrere XSS-Schwachstellen in etwa Work and Inventory Manager und Commerce.

SAP-Kunden finden im Support-Portal des Softwareherstellers weitere Infos zu den Sicherheitsproblemen.

(des)

Source

Categories: Sicherheit

Tags:

Äußerst kritische Sicherheitslücke in SAP BusinessObjects | heise Security

Admins, die in Unternehmen betriebswirtschaftliche Software von SAP betreuen, sollten das Sicherheitsportal des Softwareherstellers besuchen und gegebenenfalls abgesicherte Versionen von SAP-Software installieren.

Beispielsweise BussinesObjects Business Intelligence Platform ist durch eine als kritisch eingestufte Sicherheitslücke (CVE-2018-2471) attackierbar. Dabei könnten Angreifer Zugriff auf eigentlich abgeschottete Informationen bekommen. Das ist aber nur beim Einsatz der Ausgaben 4.10 und 4.20 der Fall.

Lücken mit dem Bedrohungsgrad hoch klaffen in Gardener, HANA, Plant Connectivity und Records Management. Setzen Angreifer an den Lücken an, könnten Sie beispielsweise Software via DoS-Attacke abschießen.

Weitere Infos zu den Lücken und abgesicherten Versionen können SAP-Kunden im Supportportal abrufen.

(des)

Source

Categories: Sicherheit

Tags:

Gefährliche Sicherheitslücken in SAP-Software | heise Security

Patchday: Gefährliche Sicherheitslücken in SAP-Software


Alert!

13.09.2018 11:24 Uhr
Dennis Schirrmacher

Patchday: Gefährliche Sicherheitslücken in SAP-Software

(Bild: geralt)

Wichtige Sicherheitsupdates stopfen Lücken in der betriebswirtschaftlichen Software von SAP.

SAP Business One, HANA und NetWeaver sind über mit dem Bedrohungsgrad “hoch” eingestufte Sicherheitslücken angreifbar. Insgesamt hat der Softwarehersteller an diesem Patchday 13 Hinweise inklusive der CVE-Nummern der Lücken in seinem Sicherheitsportal veröffentlicht. Aktualisierte Versionen betroffener Anwendungen lösen die Probleme.

Unter gewissen Voraussetzungen könnten Angreifer Business One in den Versionen 9.2 und 9.3 attackieren und Zugriff auf eigentlich abgeschottete Informationen bekommen. NetWeaver und HANA (Version 1.0 und 2.0) können sich aufgrund einer unzureichenden Überprüfung an XML-Dokumenten verschlucken. Bei HANA könnte das zu einem Datenbank-Server Crash führen.

Weitere Angriffsmöglichkeiten

Darüber hinaus gibt es noch Ansatzpunkte für Datenleaks und XSS-Attacken in beispielsweise Adaptive Server Enterprise und WebDynpro. Diese Lücken stuft SAP mit dem Bedrohungsgrad “mittel” ein. Die Business One Android Applikation überprüft in der Version 1.2 Zertifikate im Zuge einer HTTPS-Verbindung nicht korrekt. Die Schwachstelle ist mit “niedrig” eingestuft.

Weitere Informationen über die Sicherheitslücken und Patches können SAP-Kunden im Support-Portal abrufen.

(des)

Source

Categories: Sicherheit

Tags: