SAP Patch Day Februar 2024 behebt kritische Sicherheitslücken

Am 13. Februar 2024 veröffentlichte SAP im Rahmen seines Sicherheits-Patch-Tages Updates, die 13 neue Sicherheitshinweise sowie Aktualisierungen zu 3 zuvor veröffentlichten Sicherheitshinweisen umfassten. Zu den bemerkenswerten Veröffentlichungen gehörten Korrekturen für Schwachstellen, die als “Hot News” und “High” eingestuft wurden, einschließlich Problemen im Zusammenhang mit Code-Injektion, Cross-Site Scripting (XSS), XXE-Schwachstellen, unsachgemäßer Zertifikatsvalidierung und mehr in verschiedenen SAP-Produkten wie SAP ABA, NetWeaver AS Java, SAP Business Client, SAP Cloud Connector und SAP CRM WebClient UI.

Eine der kritischen Schwachstellen, die behoben wurden, ist eine Code-Injektionsanfälligkeit in SAP ABA (Application Basis), die als “Hot News” mit einem CVSS-Score von 9,1 markiert wurde. Ein weiteres bedeutendes Update war für eine Cross-Site-Scripting-Schwachstelle in NetWeaver AS Java (User Admin Application), bewertet als “High” mit einem CVSS-Score von 8,8. Es gab auch Updates für zuvor veröffentlichte Hinweise, wie Sicherheitsupdates für Google Chromium, die mit SAP Business Client geliefert wurden.

Darüber hinaus hat der erste Sicherheits-Patch-Tag von SAP im Jahr 2024 kritische Schwachstellen in Business Application Studio, Web IDE und Edge Integration Cell adressiert. Zwei der neuen und einer der aktualisierten Sicherheitshinweise befassten sich mit kritischen Schwachstellen zur Eskalation von Privilegien. Unter ihnen war CVE-2023-49583 eine Privilege Escalation Schwachstelle in Business Application Studio, Web IDE Full-Stack und Web IDE für SAP HANA. SAP-Kunden wird geraten, diese Patches so schnell wie möglich anzuwenden, um sich vor potenziellen Ausnutzungen zu schützen.

Related Posts

Kritische PostgreSQL Schwachstelle in den Versionen 12 - 15 gefunden

Die im Februar 2024 entdeckte Schwachstelle CVE-2024-0985 betrifft PostgreSQL und resultiert aus einem Fehler in der Implementierung des Befehls REFRESH MATERIALIZED VIEW CONCURRENTLY.

Read More

PlayDapp - Hacker stiehlt 31 Millionen Dollar

Am 9. Februar wurde die Gaming-Plattform PlayDapp Ziel eines schwerwiegenden Hackerangriffs. Ein Angreifer schaffte es, digitale Spielmarken (Tokens) im Wert von über 31 Millionen Dollar zu erzeugen und zu stehlen, nachdem er Zugang zu geschützten Daten der Plattform erlangt hatte.

Read More

Email Client Roundcube - XSS Schwachstelle wird ausgenutzt

Die kürzlich bekanntgewordene Schwachstelle CVE-2023-43770 im Webmail Client Roundcube ermöglicht es Angreifer Cross-Site Scripting (XSS) über Text-E-Mail-Nachrichten mit speziell gestalteten Links auszuführen. Diese Schwachstelle betrifft Versionen von Roundcube vor 1.4.14, 1.5.x vor 1.5.4 und 1.6.x vor 1.6.3. Durch die Ausnutzung dieser Sicherheitslücke können Angreifer beliebigen JavaScript-Code ausführen, indem sie die Verhaltensweise von rcube_string_replacer.php ausnutzen​​​​​​.

Read More