Der SAP Security Patch Day schließt insgesamt 15 Sicherheitslücken bei unterschiedlichen Produkten. Zeitnahe Updates für die Produkte NetWeaver, Quotation Management Insurance (FS-QUO) und Supply Chain Management (SCM) sind besonders wichtig.

Sicherheitsupdates im Überblick

Die meisten (11 von 15) Sicherheitslücken haben einen CVSS-Score mit mittlerer Priorität. Die meisten Lücken finden sich für SAP NetWeaver und Teilprodukte davon. Neben einem Update mit geringer Priorität, gibt es ein Update mit hoher Priorität SAP Supply Chain Management und je ein kritisches Update für NetWeaver Enterprise Portal Administration und Quotation Management Insurance application (FS-QUO). Eine detaillierte Übersicht aller Sicherheitslücken, betroffener Versionen und zugehöriger Updates bietet SAP auf der eigenen Website.

Kritische Sicherheitslücken

Die mit einem CVSS-Score von 9.8 als „kritisch“ eingestufte Sicherheitslücke bei der SAP Quotation Management Insurance Application (FS-QUO) ist auf eine Schwachstelle in der Deserialisierung von nicht-vertrauenswürdigen Daten zurückzuführen. Angreifer könnten die Schwachstelle ausnutzen, um aus dem Netz schädlichen Code im System auszuführen. Betroffen sind die Log4j Versionen 1.2 bis 1.2.17.

Mit einem CVSS-Score von 9.1. ebenfalls als kritisch eingestuft, kann die Sicherheitslücke in der NetWeaver Enterprise Portal Administration nach Angaben von SAP einen „hohen Einfluss auf Vertrauenswürdigkeit, Integrität und Verfügbarkeit des Host-Systems haben“. Zum Auslösen dieser Schwachstelle muss allerdings ein User mit Rechten im System – bewusst oder unbewusst – schädliche oder nicht-vertrauenswürdige Inhalte hochladen. IT-Verantwortliche und Admins von SAP-Produkten empfehlen wir zeitnah relevante Systeme zu aktualisieren.