SAP flickt kritische Schwachstellen in NetWeaver und der ABAP-Plattform

  • Der Anbieter von Unternehmenssoftware und -lösungen SAP hat an seinem Sicherheitspatch-Tag im Juni 2022 mehrere neue Sicherheitshinweise veröffentlicht.

    Das Dokument enthält insbesondere zehn neue und zwei aktualisierte Hinweise.

    Erstens stellte SAP ein Update seines am Patch Day im April 2018 veröffentlichten Sicherheitshinweises zur Verfügung, der sich auf Sicherheitsupdates für die Browsersteuerung Google Chromium bezieht, die an die Geschäftskunden des Unternehmens geliefert werden.

    Details zu diesem Hinweis sind nicht öffentlich zugänglich, aber SAP hat ihn mit dem höchstmöglichen Schweregrad von 10 nach dem Common Vulnerability Scoring System (CVSS) bewertet.

    Die zweitschwerste der in den SAP-Hinweisen vom Juni genannten Schwachstellen bezieht sich auf die CVE-Nummer (Common Vulnerabilities and Exposure) 2022-27668.

    Bei der Schwachstelle handelt es sich um eine unsachgemäße Zugriffskontrolle im Zusammenhang mit dem SAProuter-Proxy in NetWeaver und der ABAP-Plattform und hat einen CVSS-Score von 8,6.

    Laut SAP ist es je nach Konfiguration der Route-Permission-Tabelle in einer bestimmten Datei für einen nicht authentifizierten Angreifer möglich, SAProuter-Verwaltungsbefehle in SAP NetWeaver und ABAP Platform von einem Remote-Client aus auszuführen.

    Die dritte in den SAP-Hinweisen erwähnte Schwachstelle (in der Reihenfolge ihres Schweregrades) mit einem CVSS-Score von 7,8 bezieht sich auf eine mögliche Privilegienerweiterung in SAP PowerDesigner Proxy 16.7.

    „[This vulnerability] ermöglicht es einem Angreifer mit geringen Rechten und lokalem Zugriff, die Zugriffsbeschränkungen auf das Root-Laufwerk des Systems zu umgehen und eine Programmdatei im Root-Pfad des Systems zu schreiben/erstellen“, heißt es in einer der Notizen.

    Die Programmdatei kann dann beim Starten der Anwendung oder beim Neustart mit erhöhten Rechten ausgeführt werden, was die Vertraulichkeit, Integrität und Verfügbarkeit des Systems gefährden kann.

    Die übrigen neun neuen und aktualisierten Sicherheitshinweise, die diese Woche bekannt gegeben wurden, haben mittlere oder niedrige Priorität.

    SAP bestätigte, dass für die meisten der im Security Patch Day im Juni 2022 erwähnten Schwachstellen inzwischen Fixes verfügbar sind, und riet Unternehmen, ihre Systeme so schnell wie möglich zu aktualisieren.

    Einige Teile dieses Artikels stammen aus:
    www.infosecurity-magazine.com