10/11/2021

Patchday November 2021

Alle wichtigen Informationen zum Patchday im Oktober 2021 auf einen Blick!
Von
Annika Gamerad
Marketing Specialist
und

Diesen November wurden von Microsoft, SAP und Adobe wenige Schwachstellen veröffentlicht, wenn man die November-Zahlen aus den letzten Jahren miteinander vergleicht. Werfen wir einen Blick auf die Wichtigsten!

Microsoft

Microsoft veröffentlichte im November 2021 Patches für 55 CVEs für die Produkte: Microsoft Windows und Windows-Komponenten, Azure, Azure RTOS, Azure Sphere, Microsoft Dynamics, Microsoft Edge (Chromium-basiert), Exchange Server, Microsoft Office und Office-Komponenten, Windows Hyper-V, Windows Defender und Visual Studio. Von den pepachten CVEs wurden sechs als kritisch und 49 als wichtig eingestuft.

Zwei Fehler werden als aktiv ausgenutzt aufgeführt:

  • CVE-2021-42321 – Microsoft Exchange Server Remote Code Execution Vulnerability: Diese Art der Schwachstelle wird als "aus der Ferne ausnutzbar" bezeichnet. Über Netzwerksprünge könnte sie auf der Protokolleben ausgenutzt werden und sollte schnellstmöglich behoben werden. Von Microsoft wurde ein Blog veröffentlicht, um Exchange-Administratroren bei der Bereitstellung der Patches zu unterstützen.
  • CVE-2021-42292 – Microsoft Excel Security Feature Bypass Vulnerability: Durch diesen Patch wird ein Fehler behoben, der beim Öffnen einer speziell gestaltenen Datei mit einer betroffenen Excel-Version die Ausführung von Code ermöglichen kann. Der Weg des Angreifers führt über Lese-, Schreib- und Ausführungsfuntktionen. Die Zero Day Initiative weist darauf hin, dass insbesondere Benutzer:innen von Office für Mac keine unbekannten Anhänge öffnen sollten, da aktuell noch kein Patch für Mac-Benutzer verfügbar ist.

Eine Auflistung aller Patches inklusive entsrprechender Downloads stellt Microsoft bereit.

Adobe

Im November hat Adobe drei Patches veröffentlicht, welche vier CVEs korriegieren.

Kein Patch, von den heute veröffentlichten, galt zum Zeitpunkt der Veröffentlichung als öffentlich bekannt oder aktiv angegriffen.

SAP

SAP veröffentlichte im November 5 Sicherheitshinweise und 2 Updates zu bereits veröffentlichten.

  • [CVE-2021-40501] Missing Authorization check in ABAP Platform Kernel
    Product - SAP ABAP Platform Kernel, Versions - 7.77, 7.81, 7.85, 7.86: Zu dem als Hot News eingestuften Sicherheitshinweis gibt es derzeit keine näheren Infos.
  • [CVE-2021-40502] Missing Authorization check in SAP Commerce
    Product - SAP Commerce, Versions - 2105.3, 2011.13, 2005.18, 1905.34: Auch zu diesem als High eingestuften Sicherheitshinweis liegen noch keine weiteren Informationen vor.
  • Update to Security Note released on October 2020 Patch Day:
    [CVE-2020-6369] Hard-coded Credentials in CA Introscope Enterprise Manager (Affected products: SAP Solution Manager and SAP Focused. Product- CA Introscope Enterprise Manager (Affected products: SAP Solution Manager and SAP Focused Run), Versions - 9.7, 10.1, 10.5, 10.7: Dieser Sicherheitshinweis wurde als High eingestuft. Nicht authentifizierte Angreifer, könnten die Authentifizierung umgehen, wenn die Standardpasswörter für Admin und Guest nicht vom Administrator geändert wurden.

Es scheint zum Ende des Jahres bei SAP mit Sicherheitshinweisen etwas ruhiger zu werden:

Quelle: Security Notes vs Priority Distribution (June – November 2021), SAP

Weitere Informationen zu allen Sicherheitshinweisen stellt SAP bereit.

Nächster Patchday am 08.12.21. Bis dahin bleiben Sie sicher und gesund!

Kennen Sie die Schwachstellen Ihres Systems?

Schwachstellen stellen ein hohes Sicherheitsrisiko dar. Ein gutes Patchmanagement ist enorm wichtig.
Informieren Sie sich jetzt!

Lesen sie Weitere Artikel passend zum thema