Oktober 2023

SAP Security Notes Patchday Oktober 2023 Dieser Artikel ist eine Zusammenfassung über die Inhalte und aktuellen Schwachstellen für SAP Systeme. SAP hat am 10.10.2023 sieben neue Sicherheitshinweise und zwei Aktualisierungen veröffentlicht. Die gravierendste Lücke ist eine Schwachstelle im SAP Business Client ( BC-FES-BUS-DSK) beim Zugriff auf Webinhalte oder Webapplikationen. Hier wird Chromium verwendet und diese Lücke muss von den Administratoren schnellstmöglich geschlossen werden. Der Artikel weisst 3 mögliche Angriffszenarien auf.

Information Disclosure Vulnerability in Statutory Reporting (Sicherheitshinweis 3222121): Eine Schwachstelle in der Statutory Reporting-Anwendung könnte es Angreifern mit niedrigen Privilegien ermöglichen, Serverdateien zu lesen, was sich geringfügig auf die Vertraulichkeit auswirkt.

Information Disclosure Vulnerability in SAP Business One (Sicherheitshinweis 3338380): SAP Business One (B1i) ermöglicht es einem autorisierten Angreifer, durch XXE-Injection-Techniken sensible Informationen zu offenbaren. Es besteht ein begrenztes Risiko für die Vertraulichkeit, aber keine Auswirkungen auf die Integrität und Verfügbarkeit der Anwendung.

Log Injection Vulnerability in SAP NetWeaver AS für Java (Log Viewer) (Sicherheitshinweis 3371873): Diese Sicherheitsnotiz ist ein Update zur vorherigen Note 3324732 und adressiert eine unvollständige Korrektur in ENGINEAPI 7.50, die eine Log Injection-Schwachstelle in der TOTPLoginModule betrifft​.

Missing Authorization Check In S/4HANA (Manage Withholding Tax Items) (Sicherheitshinweis 3219846):
Diese Note behandelt eine fehlende Autorisierungsprüfung in S/4HANA Manage Withholding Tax Items, die zu einer Eskalation von Berechtigungen führen könnte. Die Auswirkungen auf Vertraulichkeit und Integrität der Anwendung sind gering​.

Cross-Site Scripting (XSS) Vulnerability in SAP BusinessObjects Web Intelligence (Sicherheitshinweis 3372991): SAP BusinessObjects Web Intelligence weist eine XSS-Schwachstelle auf, bei der ein Angreifer einen bösartigen Link an einen Benutzer senden könnte, der möglicherweise sensible Informationen preisgibt.