SAP veröffentlicht 26 neue und aktualisierte Sicherheitspatches

Anlässlich des August Patch Day hat SAP insgesamt 26 neue und aktualisierte Sicherheitshinweise veröffentlicht. Darunter befinden sich vier als Hot News und drei als High Priority klassifizierte Hinweise, wie die Cybersecurity-Firma Onapsis in einer Mitteilung schreibt. 

Im Zentrum stehe eine kritische Code-Injection-Schwachstelle, die in zwei Hot-News-Hinweisen adressiert wird. Der SAP-Sicherheitshinweis #3627998 mit einem CVSS-Score von 9,9 behebt diese Lücke laut Mitteilung im ERP-System S/4Hana. Die Schwachstelle könnte Angreifern die Einschleusung von beliebigem Code und damit eine vollständige Kompromittierung des Systems ermöglichen.

Der Sicherheitshinweis #3633838 schliesse dieselbe Lücke für SAP-ECC-Kunden, die das Add-on Data Migration Server (DMIS) ab Version 2011_1_700 installiert haben. Die beiden weiteren Hot-News-Hinweise (#3581961 und #3610892) seien Aktualisierungen früherer Patches und enthielten zusätzliche Informationen sowie einen Workaround.

Wie es weiter heisst, befindet sich unter den als hoch priorisiert eingestuften Patches der Sicherheitshinweis #3625403 – mit einem CVSS-Score von 8,8. Er behebe eine "Broken Authorization"-Schwachstelle in SAP Business One. Diese Lücke könnte laut Onapsis regulären Benutzern ermöglichen, API-Aufrufe mit Administratorrechten auszuführen und so die Kontrolle über die Anwendung zu erlangen.

Apropos SAP: Die Berner Verwaltung muss die Einführung der Polizeisoftware Nevo/Rialto neu beurteilen. Die technische Grundlage dieser beruht auf SAP ICM – doch diese Technologie wird voraussichtlich nicht mehr weiterentwickelt. Lesen Sie hier mehr darüber.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.