SAP Security Patchday März 2024 | LogViewer, BuildApps und Business Client Chromium

SAP Note 3433192 Eine schwerwiegende Sicherheitslücke in SAP NetWeaver AS Java ermöglicht das Hochladen gefährlicher Dateien und führt zu einer Code-Injection-Schwachstelle. Erfahren Sie, wie Sie sich schützen können.

Eine neu identifizierte Schwachstelle im SAP NetWeaver AS Java, speziell im Administrator Log Viewer Plug-in, kennzeichnet durch die CVE-2024-22127, stellt eine erhebliche Bedrohung dar. Diese Schwachstelle ermöglicht es einem Angreifer mit hohen Privilegien, potenziell gefährliche Dateien hochzuladen, was zu einer Command Injection führen kann. Die Auswirkungen dieser Sicherheitslücke sind gravierend, da sie die Vertraulichkeit, Integrität und Verfügbarkeit der betroffenen Anwendungen hochgradig beeinträchtigen kann. Dieser Artikel wird nicht nur die technischen Details dieser spezifischen Bedrohung erörtern, sondern auch die notwendigen Schritte zur Absicherung Ihres Systems beleuchten, einschließlich der Anwendung der von SAP bereitgestellten Sicherheitsnote und der Konfiguration von Virenscan-Profilen als zusätzliche Sicherheitsmaßnahme.

Schritte zur Behebung:

• Workaround: Greifen Sie auf den NetWeaver-Administrator mit der Benutzerrolle ‚NWA_READONLY‘ anstelle der Benutzerrolle ‚Administrators‘ zu.
• Aktualisieren Sie die Software Komponente: LM NWA BASIC APPS 7.50. SAP stellt ab SP023 Patches zur Verfügung.

SAP Note 3425274 Die Schwachstelle CVE-2019-10744 in SAP Build Apps ermöglicht unautorisierte Befehle, die die Integrität und Verfügbarkeit von Anwendungen gefährden könnten. Erfahren Sie mehr über die erforderlichen Updates.

Eine solche kritische Schwachstelle, bekannt als CVE-2019-10744, betrifft Anwendungen, die mit SAP Build Apps entwickelt wurden. Diese spezielle Code-Injection-Schwachstelle ermöglicht es Angreifern, unautorisierte Befehle auf betroffenen Systemen auszuführen, was zu einem geringen Einfluss auf die Vertraulichkeit, jedoch zu einem hohen Einfluss auf die Integrität und Verfügbarkeit der Anwendung führt. In diesem Artikel beleuchten wir das Wesen dieser Schwachstelle, erörtern die potenziellen Risiken für Unternehmen und erklären, wie durch das Aktualisieren der Anwendungen auf die Version 4.9.145 oder höher in SAP Build Apps, diese Risiken mitigiert werden können. Es gibt keinen bekannten Workaround, daher ist das Verständnis und die sofortige Anwendung der empfohlenen Lösungsansätze von entscheidender Bedeutung.

SAP Note 2622660 Dieses Sicherheitshinweis betrifft wichtige Aktualisierungen für den Chromium-Browser, der im SAP Business Client verwendet wird, und hebt die Bedeutung von regelmäßigen Patches hervor.

In einer Welt, in der die digitale Sicherheit entscheidend ist, steht der Schutz sensibler Geschäftsdaten an vorderster Front. SAP Business Client, eine zentrale Schnittstelle für Unternehmensanwendungen, verstärkt diesen Schutz durch regelmäßige Sicherheitsupdates für den integrierten Chromium-Browser. Mit dem neuesten Update vom 12. März 2024, das bereits das fünfundvierzigste seiner Art ist, adressiert SAP kritische Sicherheitslücken, die das Potenzial haben, die Integrität und Verfügbarkeit von Systemen erheblich zu beeinträchtigen. In diesem Artikel werfen wir einen Blick auf die jüngsten Updates, erläutern ihre Bedeutung für Unternehmen, die SAP Business Client nutzen, und diskutieren, wie durch die Aktualisierungen Risiken wie Speicherfehler, Informationspreisgabe und Systemabstürze minimiert werden. Die Notwendigkeit, auf dem neuesten Stand zu bleiben, kann nicht hoch genug eingeschätzt werden, da jede Sicherheitslücke, die offen bleibt, ein potenzielles Einfallstor für Angriffe darstellt.

Hier finden Sie die SAP Notes (sortiert nach dem CVSS-Rank)

• SAP Note 2622660 | Component BC-FES-BUS-DSK | Update to Security Note released on April 2018 Patch Day: Security updates for the browser control Google Chromium delivered with SAP Business Client, Product – SAP Business Client, Versions – 6.5, 7.0, 7.70
• SAP Note 3425274 | Component CA-LCA-ACP | [CVE-2019-10744] Code Injection vulnerability in applications built with SAP Build Apps
• SAP Note 3433192 | Component BC-JAS-ADM-LOG | [CVE-2024-22127] Code Injection vulnerability in SAP NetWeaver AS Java (Administrator Log Viewer plug-in)
• SAP Note 3346500 | Component CEC-SCC-PLA-PL | Update to Security Note released on August 2023 Patch Day: [CVE-2023-39439] Improper authentication in SAP Commerce Cloud
• SAP Note 3410615 | Component HAN-AS-XS | [CVE-2023-44487] Denial of service (DOS) in SAP HANA XS Classic and HANA XS Advanced
• SAP Note 3414195 | Component BI-BIP-CMC | [CVE-2023-50164] Path Traversal Vulnerability in SAP BusinessObjects Business Intelligence Platform (Central Management Console)
• SAP Note 3377979 | Component BC-FES-WGU | [CVE-2024-27902] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver AS ABAP, applications based on SAPGUI for HTML (WebGUI)
• SAP Note 3425682 | Component BC-ESI-WS-JAV-RT | [CVE-2024-25644] Information Disclosure vulnerability in SAP NetWeaver (WSRM)
• SAP Note 3428847 | Component EP-PIN-APF-OPR | [CVE-2024-25645] Information Disclosure vulnerability in SAP NetWeaver (Enterprise Portal)
• SAP Note 3434192 | Component BC-XI-IBF-UI | [CVE-2024-28163] Information Disclosure vulnerability in SAP NetWeaver Process Integration (Support Web Pages)
• SAP Note 3417399 | Component PA-FIO-LEA | [CVE-2024-22133] Improper Access Control in SAP Fiori Front End Server
• SAP Note 3419022 | ComponentBC-SRV-APS-APJ | [CVE-2024-27900] Missing Authorization check in SAP ABAP Platform

Bleiben Sie sicher und halten Sie Ihr System auf dem neuesten Stand!

Es ist immer wichtig, stets wachsam zu bleiben und sicherzustellen, dass Ihr SAP-System auf dem neuesten Stand ist. Das frühzeitige und konsequente Anwenden von Sicherheitspatches schützt nicht nur Ihre Daten, sondern auch die Konsistenz und Integrität Ihres gesamten Unternehmens.