IT Security News

Nachfolgend haben wir für Sie die Themen des vierten Quartals im Jahr 2022 zusammengefasst.

Sicherheitslücken

Kategorie

Sicherheitslücke

Lösung / Workaround

Zu beachten

SAP

Unsichere Deserialisierung von nicht vertrauenswürdigen Daten in der SAP BusinessObjects Business Intelligence-Plattform (Central Management Console und BI Launchpad)

Patch-Einspielung der SBOP BI Platform Version.

SAP Hinweis: 3243924 

9.9

SAP

Dateipfadüberquerungsschwachstelle in SAP Manufacturing Execution

SAP Manufacturing Execution:

Patch-Einspielung der SAP MFG Execution Komponente

Behelfslösung:

  • Entfernung aller sensiblen Inhalte aus dem Dateisystem
  • Einschränkung auf nicht benötigte Dateipfade

SAP Hinweis: 3242933

9.9

SAP

Account-Hijacking durch URL-Redirection-Schwachstelle im Anmeldeformular von SAP Commerce

SAP Commerce Cloud (HY_COM):

Patch-Einspielung der SAP Commerce Cloud

SAP Hinweis: 3239152

9.6

SAP

Account-Hijacking durch URL-Redirection-Schwachstelle im Anmeldeformular von SAP Commerce

SAP Commerce Cloud (HY_COM):

Patch-Einspielung des SAP Commerce Cloud  

SAP Hinweis: 3239152

9.6

SAP

Mehrere Sicherheitslücken in SAP NetWeaver Application Server ABAP und ABAP Platform

Produkt – SAP NetWeaver Anwendungsserver ABAP

SAP NetWeaver Application Server ABAP:

Einspielen der Korrekturanleitung 

SAP Hinweis: 3256571 

8.7

SAP

Schwachstelle mit Blick auf Offenlegung von Informationen in SAP BusinessObjects Business Intelligence (Programmobjekte)

Product – SAP Business Object Platform Servers

SAP Business Object Platform Servers:

Patch-Einspielung der SBOP BI Platform Version

SAP Hinweis: 3229132

8.2

SAP

Sicherheitslücke bei der Offenlegung von Informationen in SAP BusinessObjects Business Intelligence Platform (Monitoring DB)

SAP Business Object Platform Servers:

Patch-Einspielung der SBOP BI Platform Version

SAP Hinweis: 3213507

8.2

SAP

Pufferüberlauf in SAP SQL Anywhere und SAP IQ

SAP SQL Anywhere 17.0:

Aktualisierung der SAP SQL Anywhere

Aktualisierung der SAP IQ 16.1

SAP Hinweis: 3232021

8.1

SAP

Schwachstelle mit Blick auf Offenlegung von Informationen in SAP BusinessObjects Business Intelligence (AdminTools/Query Builder)

SAP Business Objects – BI Platform:

Patch-Einspielung der SBOP BI Platform Version

SAP Hinweis: 3239293

7.7

SAP

Mehrere Sicherheitslücken in SQlite, das mit SAPUI5 gebündelt ist

SAPUI5 framework using SQLite:

Patch-Einspielung der SAPUI5 Komponente

1.71.51 

1.84.29 

1.96.14 

1.102.8 

1.105.2

SAP Hinweis: 3249990 

7.5

SAP

Sicherheitslücke bei der Ausführung von beliebigem Code in SAP 3D Visual Enterprise Author und SAP 3D Visual Enterprise Viewer

SAP 3D Visual Enterprise Author/Viewer:

Aktualisierung VE_AUTHOR Komponente  

Aktualisierung VE_VIEWER Komponente 

SAP Hinweis: 3263436 

7.0

SAP

Mehrere Schwachstellen in SAP 3D Visual Enterprise Viewer

SAP 3D Visual Enterprise Viewer:

Patch-Einspielung der VE_Viewer Komponente

SAP Hinweis: 3245928

7.0

SAP

Mehrere Schwachstellen in SAP 3D Visual Enterprise Author

SAP 3D Visual Enterprise Author:

Patch-Einspielung der VE_Author Komponente

SAP Hinweis: 3245929

7.0

Kategorie

Sicherheitslücke

Lösung / Workaround

Zu beachten

Windows

Sicherheitsanfälligkeit im Windows Serverdienst bezüglich Rechteerweiterungen (CVE-2022-38045)

Installation Cumulative Update 10-2022

Quelle: Microsoft

8.8

Windows

Sicherheitsanfälligkeit in Windows Kerberos RC4-HMAC bezüglich Rechteerweiterungen (CVE-2022-37966)

Installation Cumulative Update 11-2022

Quelle: Microsoft

8.1

Windows

Sicherheitsanfälligkeit im Windows Point-to-Point-Tunneling-Protokoll bezüglich Remotecodeausführung (CVE-2022-41044)

Installation monatliches Sicherheitsqualitätsrollup bzw. Sicherheitsqualitätsupdate 11-2022

Quelle: Microsoft

8.1

Windows

Sicherheitsanfälligkeit in Windows Kerberos bezüglich Rechteerweiterungen (CVE-2022-37967)

Installation Cumulative Update 11-2022

Quelle: Microsoft

7.2

Sicherheitswarnungen

Kategorie

Sicherheitswarnung

Lösung / Workaround

Zu beachten

CVSS

Samba

In den OpenSSL Versionen 3.0.0 bis inkl. 3.0.6 kann ein entfernter, anonymer Angreifer mehrere Schwachstellen (CVE-2022-3602, CVE-2022-3786) ausnutzen, um einen Denial of Service Zustand herbeizuführen und potenziell um beliebigen Programmcode auszuführen.

Einspielung des betreffenden Patches

BSI: Warnung

7.5

*Common Vulnerability Scoring System (CVSS) 
0,0 – 10,0 (keine Bewertung – kritisch)

Sofern Sie zu einem bestimmten Themenbereich genauere Informationen wünschen, können Sie Ihr Anliegen jederzeit gerne an unsere IT Security adressieren.

anschrift

FIS-ASP Application Service Providing und IT-Outsourcing GmbH
Röthleiner Weg 4
D-97506 Grafenrheinfeld

Tel.: +49 97 23 / 91 88-500
Fax: +49 97 23 / 91 88-600

info@fis-asp.de

IT-SECURITY NEWSLETTER

Wir informieren Sie über aktuelle Änderungen im Bereich der IT-Sicherheit. Melden Sie sich an und verpassen Sie zukünftig keine Informationen mehr.

Sie möchten mehr über uns wissen?

Über den nachfolgenden Link gelangen Sie in unseren Downloadbereich. Hier finden Sie Informationen zum Unternehmen, Whitepapers und Fachberichte.

aktuelle beiträge

Eine neue Podcast-Folge: Die FIS-Gruppe

Wir geben euch einen Einblick in unseren Arbeitsalltag und wie die Zusammenarbeit in unserer Unternehmensgruppe funktioniert. Mit 4 Standorten, über 850 Mitarbeitenden und einer Expertise von über 30 Jahren sind wir stolz auf das, was wir erreicht haben.

Weiterlesen »
Spende statt Geschenke

Auch in diesem Jahr möchten FIS-ASP auf herkömmliche Weihnachtsgeschenke für ihre Kunden und Partner verzichten. Stattdessen wurde beschlossen, die Deutsche Kinderkrebsstiftung mit einer Spende von 10.000,- EUR zu unterstützen, um die wichtige Arbeit für krebskranke Kinder zu fördern.

Weiterlesen »