Sicherheitsupdates
Patchday.jpg

9/2/2022

Patchday Februar 2022

Der zweite Patchday im Jahr 2022 steht an. Wir haben die wichtigsten Infos zusammengefasst. Stellen Sie sich ein heißes Getränk bereit und nehmen Sie sich die Zeit zum Patchen.

Microsoft

Microsoft hat im Februar 51 Patches veröffentlicht, die CVEs in folgenden Programmen beheben: Microsoft Windows und Windows-Komponenten, Azure Data Explorer, Kestrel Web Server, Microsoft Edge (Chromium-basiert), Windows Codecs Library, Microsoft Dynamics, Microsoft Dynamics GP, Microsoft Office und Office-Komponenten, Windows Hyper V Server, SQL Server, Visual Studio Code und Microsoft Teams. Zusammen mit den Anfang Februar veröffentlichten CVEs von Microsoft Edge (Chromium-basiert), beläuft sich die Gesamtzahl im Februar auf 70. Keiner der Patches wurde als kritisch eingestuft oder als aktiv ausgenutzt aufgeführt.

  • CVE-2022-21989 - Windows Kernel Elevation of Privilege Vulnerability: Dieser Patch wird als öffentlich bekannt aufgeführt. Ein  Angriff könnte von einem AppContainer mit niedrigen Privilegien durchgeführt werden. Bei Erfolg können Angreifer:innen ihre Privilegien erhöhen und Code ausführen oder auf Ressourcen auf einer höheren Integritätsebene als der der AppContainer-Ausführungsumgebung zugreifen.
  • CVE-2022-21984 – Windows DNS Server Remote Code Execution Vulnerability: Der Patch behebt einen Fehler in der Remotecodeausführung im Microsoft-DNS-Server. Nur wenn dynamische Updates aktiviert sind, ist der Server betroffen. Angreifer können den DNS vollständig übernehmen und Code mit erhöhten Rechten ausführen.
  • CVE-2022-23280 – Microsoft Outlook for Mac Security Feature Bypass Vulnerability: Durch diesen Fehler kann es dazu kommen, dass Bilder automatisch im Vorschaufenster angezeigt werden, auf bei Deaktivierung dieser Option. Bei Ausnutzung werden nur die IP-Informationen des Ziels aufgedeckt. Gepaart mit einem zweiten Fehler, welcher sich auf die Bildwiedergabe auswirkt, kann Remotecodeausführung ermöglicht werden.
  • CVE-2022-21995 – Windows Hyper-V Remote Code Execution Vulnerability: Durch diesen Patch wird ein Guest-to-Host Escape in Hyper-V Server behoben. Die CVSS-Exploit-Komplexität wird von Microsoft als hoch eingestuft.
  • CVE-2022-22005 – Microsoft SharePoint Server Remote Code Execution Vulnerability: Ein Fehler im SharePoint Server wird von diesem Patch behoben. Authentifizierte Benutzer könnten beliebigen .NET-Code auf dem Server im Kontext und mit den Berechtigungen des Dienstkontos der SharePoint-Webanwendung ausführen.

Alle CVEs und weitere Informationen stellen die Zero Day Initiative und das Microsoft Security Response Center (MSRC) zur Verfügung.

 

Adobe

Adobe veröffentlichte im Februar fünf Bulletins, die 17 Sicherheitslücken in den Programmen Adobe Illustrator, Creative Cloud Desktop, After Effects, Photoshop und Premiere Rush beheben. Keiner der von Adobe behobenen Fehler im Februar ist zum Zeitpunkt der Veröffentlichung öffentlich bekannt oder wird aktiv angegriffen.

Alle wichtigen Informationen zu den Sicherheitslücken und die nötigen Downloads stellt das Product Security Incident Resonse Team (PSIRT) von Adobe bereit.

 

SAP

Von SAP wurden im Februar 13 neue Sicherheitshinweise veröffentlicht. 1 Sicherheitshinweis wurde out-of-band veröffentlicht und es gab fünf Aktualisierungen von bereits zuvor veröffentlichten Sicherheitshinweisen.

Von den 13 Sicherheitshinweisen wurden acht als kritisch eingestuft:

  • 3123396[CVE-2022-22536] Request smuggling and request concatenation in SAP NetWeaver, SAP Content Server and SAP Web Dispatcher                   
    Product - SAP Web Dispatcher, Versions - 7.49, 7.53, 7.77, 7.81, 7.85, 7.22EXT, 7.86, 7.87
    Product - SAP Content Server, Version - 7.53
    Product - SAP NetWeaver and ABAP Platform, Versions - KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT, 7.49
  • 3142773[CVE-2021-44228Remote Code Execution vulnerability associated with Apache Log4j 2 component used in SAP Commerce
    Related CVEs - CVE-2021-45046CVE-2021-45105CVE-2021-44832
    Product - SAP Commerce, Versions - 1905, 2005, 2105, 2011
  • 3130920Remote Code Execution vulnerability associated with Apache Log4j 2 component used in SAP Data Intelligence 3 (on-premise)
    Related CVEs - CVE-2021-44228CVE-2021-45046CVE-2021-45105
    Product - SAP Data Intelligence, Version - 3
  • 3132922Update to Security Note released in December 2021:
    [CVE-2021-44228Remote Code Execution vulnerability associated with Apache Log4j 2 component used in Internet of Things Edge Platform
    Related CVEs -  CVE-2021-45105CVE-2021-45046 , CVE-2021-44832
    Product - Internet of Things Edge Platform, Version - 4.0
  • 3133772Update to Security Note released in December 2021:
    [CVE-2021-44228Remote Code Execution vulnerability associated with Apache Log4j 2 component used in SAP Customer Checkout
    Related CVEs - CVE-2021-45046CVE-2021-45105
    Product - SAP Customer Checkout, Version - 2
  • 3131047Update to Security Note released in December 2021:
    [CVE-2021-44228] Central Security Note for Remote Code Execution vulnerability associated with Apache Log4j 2 component
  • 2622660Update to Security Note released on April 2018 Patch Day:
    Security updates for the browser control Google Chromium delivered with SAP Business Client
    Product – SAP Business Client, Version – 6.5
  • 3140940[CVE-2022-22544Missing segregation of duties in SAP Solution Manager Diagnostics Root Cause Analysis Tools
    Product - SAP Solution Manager (Diagnostics Root Cause Analysis Tools), Version - 720

Das SAP Product Security Response Team stellt alle Informationen zu diesen und weiteren Sicherheitshinweisen bereit.

Nächster Patchday ist am 08.03.2022. Bis dahin bleiben Sie sicher und gesund!

Annika_Gamerad.jpeg

By Annika Gamerad
Event Management Specialist