SAP hat seine Sicherheitspatches für den Monat September veröffentlicht, bei denen 13 Schwachstellen in Bezug auf Informationsfreigabe, Code-Injektion, Speicherbeschädigung und mehr behoben wurden. Die Schweregrade dieser Schwachstellen reichen von 2.7 (Niedrig) bis 10.0 (Kritisch).
Diese Schwachstellen traten in mehreren SAP-Produkten auf, wie SAP Business Client, Business Intelligence Platform, SAP NetWeaver, SAP CommonCryptoLib, SAP PowerDesigner, SAP BusinessObjects Suite, SAP S/4HANA, SAPUI5, SAP-Angebotsmanagement und S4CORE.
Kritische und hochschwere Schwachstellen SAP hat 5 Schwachstellen mit kritischem Schweregrad und 2 Schwachstellen mit hohem Schweregrad unter den behobenen 13 Schwachstellen gepatcht.
Die kritischste Schwachstelle war eine Schwachstelle, die auf dem Google Chromium-Browser basierte und eine anfällige Komponente betraf, die SAP Business Client in den Versionen 6.5, 7.0 und 7.70 betraf.
Eine weitere kritische Schwachstelle war CVE-2023-40622, die unter bestimmten Bedingungen einem nicht authentifizierten Bedrohungsakteur ermöglichte, sensible Informationen anzuzeigen, die zur vollständigen Kompromittierung der Anwendung verwendet werden konnten. Diese Schwachstelle hatte einen Schweregrad von 9.9 (Kritisch).
Andere kritische Schwachstellen umfassten CVE-2022-41272 (Unzureichende Zugriffskontrolle in SAP NetWeaver AS Java – 9.9), CVE-2023-25616 (Code-Injektionsschwachstelle in SAP Business Objects Business Intelligence Platform – 9.9) und CVE-2023-40309 (Fehlende Autorisierungsprüfung in SAP CommonCryptoLib – 9.8).
Bei den beiden Schwachstellen mit hohem Schweregrad handelte es sich um eine unzureichende Dateityp-Validierung in SAP BusinessObjects Business Intelligence Platform (CVE-2023-42472 – 8.7) und eine Schwachstelle für Speicherbeschädigung in SAP CommonCryptoLib (CVE-2023-40308 – 7.5).
Schwachstellen mit mittlerem Schweregrad – 6 Im Rahmen der September-Patches 2023 hat SAP 6 Schwachstellen mit mittlerem Schweregrad behoben.
Die Schwachstelle mit dem höchsten Schweregrad unter den sechs Schwachstellen mit mittlerem Schweregrad war die Code-Injektionsschwachstelle in SAP PowerDesigner Client (CVE-2023-40621) mit einem Schweregrad von 6.3.
Anschließend folgte eine Schwachstelle für das willkürliche Löschen von Dateien über Verzeichnisverknüpfungen in SAP BusinessObjects Suite (Installer), die SAP BusinessObjects Suite (Installer) Versionen 420 und 430 betraf (CVE-2023-40623 – 6.2).
SAP hat einen umfassenden Bericht über ihre kürzlich veröffentlichten Patches und die betroffenen Produkte veröffentlicht.
