Thought Leadership
Am SAP Patch Day im Februar hat das Unternehmen insgesamt 21 neue und aktualisierte Sicherheitshinweise veröffentlicht. Besonders hervorzuheben sind sechs High Priority Notes, von denen vier in Zusammenarbeit mit den Onapsis Research Labs erstellt wurden.
Diese Sicherheitsaktualisierungen betreffen unterschiedliche SAP-Produkte und beheben teils kritische Schwachstellen.
Wichtige Sicherheitsupdates und deren Auswirkungen
Ein zentrales Update betrifft die Cross-Site Scripting-Schwachstelle in SAP NetWeaver AS Java. Hierbei wurde der ursprüngliche SAP-Sicherheitshinweis #3417627 mit einem CVSS-Score von 8.8 aktualisiert. Zur vollständigen Behebung der Sicherheitslücke wurde nun ein neuer Hinweis (#3557138) mit einem CVSS-Score von 6.1 herausgegeben.
Ein weiteres kritisches Update stellt der SAP-Sicherheitshinweis #3525794 dar. Mit einem CVSS-Score von 8.7 behebt er eine gravierende Schwachstelle in der Berechtigungsprüfung der SAP BusinessObjects (SAP BO) Business Intelligence-Plattform. Diese betrifft die Central Management Console und könnte es Angreifern mit erweiterten Zugriffsrechten ermöglichen, sich als beliebiger Benutzer im System auszugeben.
Auch SAP Supplier Relationship Management (Master Data Management Catalog) wurde mit einem essenziellen Sicherheitsupdate versehen. Der SAP-Sicherheitshinweis #3567551, in Zusammenarbeit mit den Onapsis Research Labs entwickelt, schließt eine Path-Traversal-Schwachstelle. Ohne Authentifizierung konnten Angreifer zuvor auf beliebige Dateien der Anwendung zugreifen und damit möglicherweise vertrauliche Informationen einsehen.
Weitere sicherheitsrelevante Patches
Ein weiteres Update betrifft den SAP Approuter, der als zentraler Einstiegspunkt für verschiedene Backend-Dienste fungiert. Der SAP-Sicherheitshinweis #3567974 (CVSS-Score 8.1) adressiert eine Authentifizierungsumgehung in Version v16.7.1 und älter, die die Vertraulichkeit und Integrität der Anwendung gefährden konnte.
SAP Enterprise Project Connection wurde ebenfalls aktualisiert. Der SAP-Sicherheitshinweis #3567172 (CVSS-Score 7.5) bezieht sich auf mehrere Sicherheitslücken, die durch veraltete Open-Source-Bibliotheken im Spring Framework entstehen. Betroffen sind unter anderem die CVEs CVE-2024-38819, CVE-2024-38820 und CVE-2024-38828. Wichtig zu beachten: SAP gibt an, dass die allgemeine Wartung für SAP Enterprise Project Connection 3.0 am 14. Oktober 2025 endet.
Schließlich wurde mit dem SAP-Sicherheitshinweis #3563929 (CVSS-Score 7.1) eine Open-Redirect-Schwachstelle in den erweiterten Application Services von SAP HANA geschlossen. Hierbei konnten Angreifer über eine unzureichend überprüfte URL Benutzer auf bösartige Webseiten umleiten.
Mit insgesamt 21 veröffentlichten SAP-Sicherheitshinweisen, darunter sechs High Priority Notes, fällt der SAP Patch Day im Februar besonders umfangreich aus. Unternehmen, die SAP-Produkte einsetzen, sollten die aktuellen Updates umgehend prüfen und implementieren, um potenzielle Sicherheitsrisiken zu minimieren.
