SAP Security-Patchday Juni 2017

An jedem zweiten Dienstag im Monat veröffentlicht die SAP AG sicherheitsrelevante SAP-Hinweise, die Schwachstellen innerhalb der SAP-Software aufzeigen. Seit März 2016 nutzt die SAP hierzu das Common Vulnerability Scoring System – CVSS (wörtlich übersetzt: „Allgemeines Verwundbarkeitsbewertungssystem“) zur Priorisierung der aufgezeigten Schwachstellen und zur transparenten Einordnung der Bedrohung im Vergleich zu vergleichbaren Standards.

Am 13. Juni 2017 veröffentlichte die SAP AG 18 neue und drei aktualisierte, bereits vorher veröffentlichte sicherheitsrelevante Hinweise. Insbesondere die Hinweise 2313631 – Denial-of-Service-Schwachstelle (DoS) in BI-Launchpad und Central Management Console und 2389181 – Denial of service (DOS) in SAP NetWeaver Instance Agent Service mit einem Css-Score von 7.5 sind interessant.

Sie benötigen Unterstützung bei der Implementierung eines geeigneten Implementierungsprozesses für die SAP Security Patches? Sprechen Sie uns an!

SAP Security-Patchday Mai 2017

An jedem zweiten Dienstag im Monat veröffentlicht die SAP AG sicherheitsrelevante SAP-Hinweise, die Schwachstellen innerhalb der SAP-Software aufzeigen. Seit März 2016 nutzt die SAP hierzu das Common Vulnerability Scoring System – CVSS (wörtlich übersetzt: „Allgemeines Verwundbarkeitsbewertungssystem“) zur Priorisierung der aufgezeigten Schwachstellen und zur transparenten Einordnung der Bedrohung im Vergleich zu vergleichbaren Standards.

Am 9. Mai 2017 veröffentlichte die SAP AG 9 neue und zwei aktualiserte, bereits vorher veröffentlichte sicherheitsrelevante Hinweise.

Sie benötigen Unterstützung bei der Implementierung eines geeigneten Implementierungsprozesses für die SAP Security Patches? Sprechen Sie uns an!

SAP Security-Patchday April 2017

An jedem zweiten Dienstag im Monat veröffentlicht die SAP AG sicherheitsrelevante SAP-Hinweise, die Schwachstellen innerhalb der SAP-Software aufzeigen. Seit März 2016 nutzt die SAP hierzu das Common Vulnerability Scoring System – CVSS (wörtlich übersetzt: „Allgemeines Verwundbarkeitsbewertungssystem“) zur Priorisierung der aufgezeigten Schwachstellen und zur transparenten Einordnung der Bedrohung im Vergleich zu vergleichbaren Standards.

Am 11. April 2017 veröffentlichte die SAP AG 12 neue und drei aktualiserte, bereits vorher veröffentlichte sicherheitsrelevante Hinweise. Besonders erwähnen möchten wir Hinweis 2419592 – Code Injection vulnerability in TREX/BWA, wo eine Schwachstelle in SAP’s Suchmaschine mit einem CVSS-Score von 9.4 beschrieben wird.

Sie benötigen Unterstützung bei der Implementierung eines geeigneten Implementierungsprozesses für die SAP Security Patches? Sprechen Sie uns an!

Kritische Schwachstelle in SAP’s Suchmaschine TREX

Am 11. April 2017 veröffentlichte die SAP im Rahmen des Security-Patchdays für April den Hinweis 2419592. Dort wird eine kritische Schwachstelle beschrieben, die es einem Angreifer ermöglicht, Code einzuschleusen, der anschließend von der Anwendung ausgeführt wird. Ein Angreifer kann somit das Systemverhalten der Anwendung steuern.

Mögliche Code-Injection-Leaks sind:

Unberechtigte Ausführung von Befehlen
Offenlegung von Informationen
Denial-of-Service

Durch den Patch wird eine fehlende Zugriffsteuerung implementiert, wodurch vermieden wird, dass Prozesse, die auf einer Maschine ausgeführt werden, die nicht der aktuellen TREX/BWA-Landschaft angehören, Befehle der internen Schnittstelle nutzen.

Es wird empfohlen so schnell wie möglich ein Upgrade auf ein entsprechendes Softwarelevel durchzuführen:

Bereitstehende Updates:

Upgrade auf TREX 7.10 Revision 74 oder höher,
Upgrade auf BWA 7.00 Revision 76 oder höher,
Upgrade auf BWA 7.20 Revision 40 oder höher,
Upgrade auf TREX 7.25 Revision 37 oder höher

SAP Security-Patchday März 2017

An jedem zweiten Dienstag im Monat veröffentlicht die SAP AG sicherheitsrelevante SAP-Hinweise, die Schwachstellen innerhalb der SAP-Software aufzeigen. Seit März 2016 nutzt die SAP hierzu das Common Vulnerability Scoring System – CVSS (wörtlich übersetzt: „Allgemeines Verwundbarkeitsbewertungssystem“) zur Priorisierung der aufgezeigten Schwachstellen und zur transparenten Einordnung der Bedrohung im Vergleich zu vergleichbaren Standards.

Am 14. März 2017 veröffentlichte die SAP AG 25 neue und zwei aktualiserte, bereits vorher veröffentlichte sicherheitsrelevante Hinweise. Besonders erwähnen möchten wir Hinweis 2424173, wo eine Schwachstelle im Benutzer-Self-Service-Tool von SAP HANA beschrieben wird.

 

Sie benötigen Unterstützung bei der Implementierung eines geeigneten Implementierungsprozesses für die SAP Security Patches? Sprechen Sie uns an!

SAP Security-Patchday Februar 2017

An jedem zweiten Dienstag im Monat veröffentlicht die SAP AG sicherheitsrelevante SAP-Hinweise, die Schwachstellen innerhalb der SAP-Software aufzeigen. Seit März 2016 nutzt die SAP hierzu das Common Vulnerability Scoring System – CVSS (wörtlich übersetzt: „Allgemeines Verwundbarkeitsbewertungssystem“) zur Priorisierung der aufgezeigten Schwachstellen und zur transparenten Einordnung der Bedrohung im Vergleich zu vergleichbaren Standards.

Am 14. Februar 2017 veröffentlichte die SAP AG 15 sicherheitsrelevante Hinweise und machte drei Updates zu bereits vorher veröffentlichten Hinweisen.

Sie benötigen Unterstützung bei der Implementierung eines geeigneten Implementierungsprozesses für die SAP Security Patches? Sprechen Sie uns an!

SAP Security-Patchday Januar 2017

An jedem zweiten Dienstag im Monat veröffentlicht die SAP AG sicherheitsrelevante SAP-Hinweise, die Schwachstellen innerhalb der SAP-Software aufzeigen. Seit März 2016 nutzt die SAP hierzu das Common Vulnerability Scoring System – CVSS (wörtlich übersetzt: „Allgemeines Verwundbarkeitsbewertungssystem“) zur Priorisierung der aufgezeigten Schwachstellen und zur transparenten Einordnung der Bedrohung im Vergleich zu vergleichbaren Standards.

Am 10. Januar 2017 veröffentlichte die SAP AG 18 sicherheitsrelevante Hinweise  – einen davon mit der höchsten Priorität.

Sie benötigen Unterstützung bei der Implementierung eines geeigneten Implementierungsprozesses für die SAP Security Patches? Sprechen Sie uns an!

SAP Security-Patchday Dezember 2016

An jedem zweiten Dienstag im Monat veröffentlicht die SAP AG sicherheitsrelevante SAP-Hinweise, die Schwachstellen innerhalb der SAP-Software aufzeigen. Seit März 2016 nutzt die SAP hierzu das Common Vulnerability Scoring System – CVSS (wörtlich übersetzt: „Allgemeines Verwundbarkeitsbewertungssystem“) zur Priorisierung der aufgezeigten Schwachstellen und zur transparenten Einordnung der Bedrohung im Vergleich zu vergleichbaren Standards.

Am 13. Dezember veröffentlichte die SAP AG 20 sicherheitsrelevante Hinweise und drei Updates zu bereits vorher veröffentlichten Sicherheitslücken. Seit dem letzten Security-Patchday am 08. November 2016 wurden insgesamt 32 Security-Patches veröffentlicht.

Sie benötigen Unterstützung bei der Implementierung eines geeigneten Implementierungsprozesses für die SAP Security Patches? Sprechen Sie uns an!

SAP Security-Patchday November 2016

An jedem zweiten Dienstag im Monat veröffentlicht die SAP AG sicherheitsrelevante SAP-Hinweise, die Schwachstellen innerhalb der SAP-Software aufzeigen. Seit März 2016 nutzt die SAP hierzu das Common Vulnerability Scoring System – CVSS (wörtlich übersetzt: „Allgemeines Verwundbarkeitsbewertungssystem“) zur Priorisierung der aufgezeigten Schwachstellen und zur transparenten Einordnung der Bedrohung im Vergleich zu vergleichbaren Standards.

Am 8. November 2016 veröffentlichte die SAP AG 10 sicherheitsrelevante SAP-Hinweise. Zwei der veröffentlichten SAP-Security-Patches wurden als SAP-Hot-News adressiert. Der höchste CVSS-Score beträgt 9.1.

Sie benötigen Unterstützung bei der Implementierung eines geeigneten Implementierungsprozesses für die SAP Security Patches? Sprechen Sie uns an!