SAP darf sich über einen ruhigen Herbstanfang freuen. Das Unternehmen hat am Patch Day am 10. Oktober lediglich sieben Sicherheitsmeldungen für verschiedene Produkte veröffentlicht. In den vergangenen Monaten lag die Zahl hingegen meist im zweistelligen Bereich, zudem befindet sich keine kritische Lücke in der aktuellen Liste.
SAP hat jedoch auch ein Update für eine bereits 2018 gemeldete, kritische Schwachstelle veröffentlicht, die den Google-Chrome-Browser als Teil des SAP Business Clients betrifft.
Unter den neuen Meldungen befindet sich unter anderem eine Lücke in SAP Businessobjects Web Intelligence (Version 420). Es handelt sich um eine URL mit einem Parameter, der für XSS-Angriffe anfällig sein könnte. Der Angreifer habe demnach die Möglichkeit, einen bösartigen Link an einen Benutzer zu senden, der es wiederum ermöglichen könnte, sensible Informationen abzurufen.
SAP Power Designer Client (Version 16.7) validiert wiederum BPMN2-XML-Dokumente, die aus einer nicht vertrauenswürdigen Quelle importiert wurden, nicht ausreichend. Ein erfolgreicher Angriff könnte die Verfügbarkeit von SAP Power Designer Client beeinträchtigen, schreibt der Anbieter. Und SAP Business One (Version 10.0) ermöglicht es einem autorisierten Angreifer laut
SAP, die Details der Stack-Trace einer Fehlermeldung abzurufen, um die XXE Injection durchzuführen, die zur Offenlegung von Informationen führt.
Alle Meldungen, auch die der vergangenen Monate, hat SAP in einer
Liste zusammengefasst. Hier finden IT-Verantwortliche zudem Informationen, wie sie die Lücken schliessen können.
(sta)
