SAP hat Sicherheitsupdates für seine betriebswirtschaftliche Software veröffentlicht. Sie schließen sieben Schwachstellen, von denen zwei als kritisch gelten; diese erlauben Angreifern das Umgehen von Authentifizierungsmechanismen (NetWeaver, CVE-2019-0379) und leaken Informationen aus der Software (Landscape Management, CVE-2019-0380). Nutzer sollten die verfügbaren Updates zügig einspielen. Das Risiko, das von einer dritten Schwachstelle (CVE-2019-0381) in SAP SQL Anywhere, SAP IQ und SAP Dynamic Tiering ausgeht, stuft der Hersteller als "High" ein. Laut Beschreibung kann sie unter bestimmten Voraussetzungen zum "versehentlichen" Zugriff auf Dateien außerhalb eines vom Nutzer angegebenen Pfades führen. "Medium"-Schwachstellen und aktualisierte Informationen Die übrigen Sicherheitslücken stecken in SAPs Customer Relationship Management (CRM), BusinessObjects BI, Financial Consolidation und im B2B-Add-On für NetWeaver. Sie ermöglichen vorwiegend Cross-Site-Scripting-Angriffe. Zusätzlich hat SAP noch ein Update für einen Sicherheitshinweis vom vergangenen Patchday veröffentlicht (Denial-of-Service-Angriff auf SAP-Kernel und -GUIs, CVE-2019-0365). Updates über das Support-Launchpad abrufbar Die von den Schwachstellen mit "Critical"- und "High"-Einstufung betroffenen Software-Versionen sind laut SAPs Advisory zum Oktober-Patchday NetWeaver 1.0/2.0, Landscape Management 3.0 sowie SAP IQ 16.1, SAP SQL Anywhere 17.0 und SAP Dynamic Tiering 1.0/2.0. Weitere Details zu den Lücken sowie Informationen zu den verfügbaren Updates finden Kunden, indem sie im Advisory auf die jeweilige Security Note klicken und sich anschließend über das Support-Launchpad in ihrem SAP-Account anmelden. (ovw) Zur Startseite Patchday: SAP veröffentlicht wenige, dafür aber wichtige Updates
- Details
- Heise RSS Feed
- Hauptkategorie: IT News aus aller Welt
- Kategorie: Sicherheitsinfos
SAP hat Sicherheitsupdates für seine betriebswirtschaftliche Software veröffentlicht. Sie schließen sieben Schwachstellen, von denen zwei als kritisch gelten; diese erlauben Angreifern das Umgehen von Authentifizierungsmechanismen (NetWeaver, CVE-2019-0379) und leaken Informationen aus der Software (Landscape Management, CVE-2019-0380). Nutzer sollten die verfügbaren Updates zügig einspielen. Das Risiko, das von einer dritten Schwachstelle (CVE-2019-0381) in SAP SQL Anywhere, SAP IQ und SAP Dynamic Tiering ausgeht, stuft der Hersteller als "High" ein. Laut Beschreibung kann sie unter bestimmten Voraussetzungen zum "versehentlichen" Zugriff auf Dateien außerhalb eines vom Nutzer angegebenen Pfades führen. "Medium"-Schwachstellen und aktualisierte Informationen Die übrigen Sicherheitslücken stecken in SAPs Customer Relationship Management (CRM), BusinessObjects BI, Financial Consolidation und im B2B-Add-On für NetWeaver. Sie ermöglichen vorwiegend Cross-Site-Scripting-Angriffe. Zusätzlich hat SAP noch ein Update für einen Sicherheitshinweis vom vergangenen Patchday veröffentlicht (Denial-of-Service-Angriff auf SAP-Kernel und -GUIs, CVE-2019-0365). Updates über das Support-Launchpad abrufbar Die von den Schwachstellen mit "Critical"- und "High"-Einstufung betroffenen Software-Versionen sind laut SAPs Advisory zum Oktober-Patchday NetWeaver 1.0/2.0, Landscape Management 3.0 sowie SAP IQ 16.1, SAP SQL Anywhere 17.0 und SAP Dynamic Tiering 1.0/2.0. Weitere Details zu den Lücken sowie Informationen zu den verfügbaren Updates finden Kunden, indem sie im Advisory auf die jeweilige Security Note klicken und sich anschließend über das Support-Launchpad in ihrem SAP-Account anmelden. (ovw) Zur Startseite - Zugriffe: 265