Am September-Patchday hat SAP zahlreiche Lücken geschlossen. Darunter sind zahlreiche Probleme mit "Medium"-Einstufung und auch eine kritische Lücke in NetWeaver (CVSS-v3-Score 9.1). Außerdem nahm SAP Aktualisierungen an älteren Sicherheitshinweisen vor, die ebenfalls kritische Lücken betreffen.

Die behobene kritische Lücke CVE-2019-0355 befindet sich in einem API der NetWeaver-Komponente Application Server Java (ENGINEAPI). Sie ermöglicht das Injizieren von Code, der dann von NetWeaver ausgeführt wird. So kann ein Angreifer schlimmstenfalls die Kontrolle über die Anwendung übernehmen. Betroffen sind NetWeaver-Versionen von 7.10 aufwärts; die bereitstehenden Updates sollten umgehend einspielt werden.

Mehrere Probleme mit "High"-Einstufung wurden unter der CVE-Nummer CVE-2019-0363 zusammengefasst und betreffen die Entwicklungs- und Integrationsplattform SAP HANA. Die "Medium"-Lücken betreffen unter anderem ebenfalls HANA, SAP Business One sowie die Business Objects Business Intelligence Platform.

(tl, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE