Datenschutz & Sicherheit
SAP-Patchday im Oktober: SAP dichtet Sicherheitslücken ab
Zum allmonatlichen Patchday hat SAP wie gewohnt eine Reihe von Updates nebst zugehörigen Sicherheitshinweisen veröffentlicht. Zwei der frisch beseitigten Schwachstellen wurden als kritisch und zwei weitere mit der Einstufung „High“ bewertet.
Weiterlesen nach der Anzeige
IT-Sicherheitsverantwortliche sollten die verfügbaren, auf SAPs Übersichtsseite aufgelisteten Aktualisierungen zeitnah anwenden. Überdies lohnt sich auch ein Blick auf die Ergänzungen, die das Unternehmen an einigen älteren Sicherheitshinweisen vorgenommen hat.
Print Service und SRM zügig abdichten
Von kritischen Schwachstellen betroffen sind SAPs Print Service (CVE-2025-42937, CVSS-Score 9.8) und Supplier Relationship Management (CVE-2025-42910, 9.0). Erstere Schwachstelle könnte für Verzeichnis- und Dateizugriffe missbraucht werden (Directory Traversal), um etwa Systemdateien zu überschreiben. Letztere basiert auf fehlenden Beschränkungsmechanismen beim Datei-Upload (Unrestricted File Upload Vulnerability). Angreifer könnten sie ausnutzen, um beliebige schädliche Dateien (z. B. Schadcode) hochzuladen.
Eine Aktualisierung erhielt SAPs Sicherheitsnotiz zur Sicherheitslücke CVE-2025-42944 in NetWeaver AS Java mit dem höchstmöglichen CVSS-Score 10.0. Das auf unsicherer Deserialisierung basierende Einfallstor war zuvor schon mit den September-Updates angegangen worden; dass es nun nochmals thematisiert wird, weist auf die Dringlichkeit der zugehörigen Fixes und Informationen hin. Die Lücke kann zum Einschleusen beliebigen Codes verwendet werden.
High-Risk-Schwachstellen und weitere Hinweise
Lücken mit „High“-Wertung stecken in der SAP Commerce Cloud (Denial-of-Service; CVE-2025-5115, 7.5) sowie in der Data Hub Integration Suite (Security Misconfiguration; CVE-2025-48913, 7.1).
Von Sicherheitslücken mittleren und niedrigen Schweregrads betroffen sind unter anderem Application Server for ABAP, Commerce Cloud, SAP S/4HANA, Financial Service Claims Management, Business Objects und Cloud Appliance Library Appliances. Nähere Informationen hierzu sind SAPs Übersicht zum Oktober-Patchday zu entnehmen.
Weiterlesen nach der Anzeige
(ovw)