top of page
Suche

SAP Security Patch Day - März 2026: Kritische Schwachstellen im Fokus

  • Autorenbild: GoNextConsulting
    GoNextConsulting
  • vor 6 Stunden
  • 2 Min. Lesezeit

Mit jedem SAP Security Patch Day veröffentlicht SAP eine Reihe von Sicherheitshinweisen, die Schwachstellen in unterschiedlichen Komponenten der SAP-Landschaft adressieren. Auch in diesem Monat wurden mehrere potenziell kritische Sicherheitslücken identifiziert und mit entsprechenden Updates versehen.


Einige dieser Schwachstellen können – abhängig von Systemkonfiguration und Einsatzszenario – Auswirkungen auf die Verfügbarkeit, Integrität oder Sicherheit von Systemen haben. Daher ist es für Unternehmen wichtig, die veröffentlichten Security Notes zeitnah zu analysieren und geeignete Maßnahmen zur Absicherung ihrer Systeme zu planen.


Im folgenden Beitrag geben wir wie jeden Monat einen Überblick über die kritischsten Security Notes (CVSS größer als 7) des aktuellen Patch Days.


SAP Security Patch Day März
Kategorisierung und Anzahl der Schwachstellen

Kritische Schwachstellen im März 2026


1. CVE-2019-17571 – Code-Injection in SAP Quotation Management Insurance (FS-QUO) (3698553)

  • CVSS-Score: 9,8 – Sehr hohe Priorität 

  • Beschreibung: Die Anwendung verwendet eine veraltete Version von Apache Log4j (1.2.17). Diese ermöglicht es Angreifern, beliebigen Code auf dem Server auszuführen. Eine erfolgreiche Ausnutzung kann zu einer vollständigen Systemkompromittierung führen und Vertraulichkeit, Integrität sowie Verfügbarkeit beeinträchtigen.


  • Lösung:

    • Sicherheitshinweis unverzüglich einspielen

    • Veraltete log4j-1.2.17.jar aus dem Scheduler-Verzeichnis entfernen

    • Aktualisierte Log4j-Bibliotheken installieren

    • Build- und Deployment-Prozess der FS-QUO-Komponenten aktualisieren



2. CVE-2026-27685 – Unsichere Deserialisierung in SAP NetWeaver Enterprise Portal (3714585)

  • CVSS-Score: 9,1 – Sehr hohe Priorität 

  • Beschreibung: Eine Schwachstelle in der Portaladministration ermöglicht es privilegierten Benutzern, manipulierte Inhalte hochzuladen. Durch unsichere Deserialisierung kann dies zur Remote-Code-Ausführung auf dem Hostsystem führen.

  • Lösung: 

    • Support Packages gemäß SAP-Hinweis einspielen

    • Upload-Funktionalitäten im Enterprise Portal überprüfen

    • Administrative Zugriffe restriktiv konfigurieren

    • Portaladministration regelmäßig auditieren



3. CVE-2026-27689 – Denial-of-Service in SAP Supply Chain Management (3719502)

  • CVSS-Score: 7,7 – Hohe Priorität 

  • Beschreibung: Ein RFC-fähiger Funktionsbaustein erlaubt es Angreifern, durch manipulierte Parameter einen übermäßigen Ressourcenverbrauch auszulösen. Dies kann zu Systemüberlastung und Serviceausfällen führen.

  • Lösung: 

    • Support Packages oder Korrekturanleitungen einspielen

    • RFC-fähige Funktionsbausteine prüfen und absichern

    • Parameter-Validierung in Schnittstellen überprüfen

    • Monitoring für ungewöhnliche RFC-Aufrufmuster implementieren



SAP Security Updates

Allgemeine Handlungsempfehlungen 


Um Sicherheitsrisiken nachhaltig zu reduzieren, sollten Unternehmen folgende Maßnahmen umsetzen:


  1. Patches zeitnah einspielen, insbesondere bei CVSS-Werten über 9,0.

  2. Kernel-Updates einplanen 

  3. Testumgebungen nutzen, bevor Updates in produktiven Systemen eingespielt werden.

  4. Überwachungstools einsetzen, um Schwachstellen in Echtzeit zu erkennen.

  5. Regelmäßige Security-Checks durchführen, um auch abseits der Patch Days sicherheitsrelevante Risiken zu identifizieren.



Wie Go Next Consulting euch bei der Absicherung eurer SAP-Systeme unterstützt


Wir bieten Managed Security Services, um Unternehmen bei der Identifikation, Bewertung und Behebung von Sicherheitslücken in SAP-Systemen zu unterstützen.


Unsere Leistungen im Überblick:


✅ Regelmäßige Sicherheits-Checks:

Proaktive Überwachung und Analyse potenzieller Bedrohungen


Patch-Management:

Unterstützung bei der schnellen und reibungslosen Implementierung von SAP-Sicherheitsupdates --> siehe Managed SAP Security Notes Service


Schwachstellen-Scans:

Identifikation von Sicherheitslücken in Echtzeit mit modernen Security-Tools wie SecurityBridge


Risikominimierung:

Strategien zur Stärkung der SAP-Sicherheitsarchitektur, ohne den laufenden Betrieb zu gefährden


Mit unserer Expertise im Bereich SAP Security helfen wir euch, euer System kontinuierlich zu schützen und Angriffsrisiken zu minimieren.




Fazit zum SAP Security Patch Day im März


Der SAP Security Patch Day zeigt jeden Monat auf's Neue, dass SAP Security ein kontinuierlicher Prozess ist und bleibt. Da stetig neue Sicherheitsrisiken entstehen, ist es für Unternehmen von großer Bedeutung, eine strukturierte Sicherheitsstrategie für ihre SAP-Systeme zu etablieren.


Regelmäßige Patchzyklen, Sicherheitsanalysen und ein klar definiertes Patchmanagement sind entscheidend, um Geschäftsprozesse langfristig zu schützen.


Bleibt wachsam und up-to-date!

Kommentare

bottom of page