Zum Patch Tuesday hat SAP seine betriebswirtschaftliche Software mit Updates gegen Angriffe abgesichert. Während das Unternehmen in den meisten Monaten mit so genannten „Hot News“, der internen Bezeichnung für kritische Sicherheitslücken, eher sparsam umgeht, finden sich im September-Advisory gleich fünf davon. Betroffen von kritischen Lücken sind der NetWeaver Application Server for Java(mit dem höchstmöglichen CVSS-Score 10), das NZDT Mapping Table Framework, NetWeaver Knowledge Management, SAP Contact Center sowieVisual Composer 7.0 RT als NetWeaver-Komponente (CVSS-Score je 9.9). Je eine Sicherheitslücke mit „High“-Einstufung klaffen zudem im SAP Web Dispatcher und SAP CommonCryptoLib. Weitere wurden mit „Medium“ eingestuft. Mit Details zu den Sicherheitslücken zeigt sich SAPs Advisory zum Security Patch Day im September 2021 wie gewohnt eher zurückhaltend. Unter anderem sind das Umgehen von Authentifizierungsmechanismen („Missing Authorization check in SAP NetWeaver Application Server for Java“, CVE-2021-37535), SQL und Code Injection sowie das unbefugte Hochladen von Dateien möglich. Wer mehr wissen will, klickt auf die im Advisory verlinkten „Security Notes“ im geschützten Bereich der SAP-Support-Website. Weiterhin lohnt ein genauerer Blick auf das Advisory zum Patchday, um sich einen Überblick über aktualisierte Security-Notes der vergangenen Monate zu verschaffen. Im aktuellen Fall wurden zwei ältere „Hot News“ auf den neuesten Stand gebracht.