Liebe Leserinnen und Leser,
Interessanterweise enthielt dieser Patchday keinen Hinweis der Priorität „Hot News“, also keine Sicherheitslücken mit einem Risiko-Score von CVSS über 9.0.
SAP Note 3434839 Eine kritische Sicherheitslücke in der User Admin Anwendung von SAP NetWeaver AS Java ermöglicht Angriffen durch unsichere Sicherheitsantworten. Entdecken Sie die notwendigen Schritte zur Absicherung.
In der SAP Landschaft ist die Sicherheit von Benutzerdaten von unschätzbarem Wert, doch gerade hier offenbart sich eine bedenkliche Schwachstelle in der User Admin Anwendung von SAP NetWeaver AS Java. Der CVSS Rank ist bei 8.8. Die Funktionen ‚Self-Registration‘ und ‚Modify your own profile‘ erfüllen nicht die notwendigen Sicherheitsanforderungen für die Inhalte von Sicherheitsantworten. Diese Lücke, gekennzeichnet durch die CVE-2024-27899, ermöglicht es Angreifern, einen tiefgreifenden Einfluss auf die Vertraulichkeit und einen geringeren Einfluss auf die Integrität und Verfügbarkeit von Benutzerdaten zu nehmen. Diese Sicherheits-Miskonfiguration und die daraus resultierende Offenlegung sensibler Daten zeigen, wie kritisch die Einhaltung von Sicherheitsprotokollen ist.
SAP stellt ab SPS023 Patches für folgende Softwarekomponenten zur Verfügung:
- J2EE ENGINE APPLICATIONS 7.50
- J2EE ENGINE SERVERCORE 7.50
- UME ADMINISTRATION 7.50
SAP Note 3421384 Sicherheitslücke bei der Offenlegung von Informationen in SAP BusinessObjects Web Intelligence aufgrund von unsachgemäßer Validierung
In SAP BusinessObjects Web Intelligence wurde kürzlich eine Schwachstelle der Informationspreisgabe identifiziert, die aus einer unzureichenden Validierung resultiert. Der Business Intelligence Launch Pad von SAP BusinessObjects ermöglicht es einem authentifizierten Angreifer, über speziell gestaltete Dokumente auf Betriebssysteminformationen zuzugreifen. Diese Sicherheitslücke kann bei erfolgreicher Ausnutzung erhebliche Auswirkungen auf die Vertraulichkeit der Anwendung haben. Insbesondere gibt es unzureichende Einschränkungen beim Laden von Excel-Dateien, was dazu führt, dass Inhalte unsicherer Excel-Dateien nicht mehr gelesen werden. Diese Problematik wurde in den im Abschnitt „Support Packages & Patches“ aufgelisteten Patches behoben. Informationen zur Wartung und Strategie der Business Intelligence Platform finden Sie im Knowledge Base Artikel 2144559 im Referenzabschnitt. Bitte prüfen Sie die Anwendbarkeit der Workarounds für Ihre SAP-Landschaft, bevor Sie diese implementieren. Beachten Sie, dass dieser Workaround eine vorübergehende Lösung darstellt und keine dauerhafte Lösung bietet. SAP empfiehlt dringend, die in der Sicherheitsnotiz beschriebenen Korrekturen anzuwenden, die anstelle des Workarounds oder nach dessen Implementierung durchgeführt werden können. Entfernen Sie den Excel Data Access Service von allen Adaptive Processing Servers.
SAP Note 3438234 Directory Traversal Schwachstelle in der SAP Anlagenbuchhaltung
Einleitung zur Verwundbarkeit durch Pfadmanipulation in SAP Anlagenbuchhaltung:
In der SAP Anlagenbuchhaltung wurde eine kritische Sicherheitslücke identifiziert, die es einem hochprivilegierten Angreifer ermöglichen könnte, die unzureichende Validierung von durch Benutzer bereitgestellten Pfadinformationen auszunutzen. Diese Informationen können an die Datei-APIs weitergegeben werden, was erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung haben kann. Es wird dringend empfohlen, ein Support-Paket oder Korrekturanweisungen zu implementieren, um diese Sicherheitslücke zu schließen. Bei Implementierung der Korrektur wird das Programm RAALTE00 deaktiviert. Das Programm RAALTD01 überprüft dann korrekt die Pfadangaben gegenüber den logischen Dateinamen FI_AA_DATA_TAKEOVER_INPUT und FI_AA_DATA_TAKEOVER_ERROR.
Bitte prüfen Sie die Anwendbarkeit des Workarounds für Ihre SAP-Landschaft, bevor Sie ihn implementieren. Beachten Sie, dass dieser Workaround eine temporäre Lösung darstellt und keine dauerhafte Lösung bietet. SAP empfiehlt nachdrücklich, die in der Sicherheitsnotiz dargelegten Korrekturen anzuwenden, die anstelle des Workarounds oder nach dessen Implementierung durchgeführt werden können:
Weisen Sie den Programmen RAALTE00 und RAALTD01 eine Autorisierungsgruppe zu, um sicherzustellen, dass die Programme nicht von Personen ohne spezielle Privilegien ausgeführt werden können.
Hier finden Sie die SAP Notes (sortiert nach dem CVSS-Rank)
- SAP Note 3434839 | Component BC-JAS-SEC-UME | [CVE-2024-27899] Security misconfiguration vulnerability in SAP NetWeaver AS Java User Management Engine. Product – SAP NetWeaver AS Java User Management Engine, Versions – SERVERCORE 7.50, J2EE-APPS 7.50, UMEADMIN 7.50
- SAP Note 3421384 | Component BI-RA-WBI | [CVE-2024-25646] Information Disclosure vulnerability in SAP BusinessObjects Web Intelligence. Product – SAP BusinessObjects Web Intelligence, Versions – 4.2, 4.3
- SAP Note 3438234 | Component FI-AA-AA-A | [CVE-2024-27901] Directory Traversal vulnerability in SAP Asset Accounting. Product- SAP Asset Accounting, Versions – SAP_APPL 600, SAP_APPL 600, SAP_APPL 600, SAP_APPL 600, SAP_APPL 600, SAP_APPL 600, SAP_FIN617, SAP_FIN 618, SAP_FIN700
- SAP Note 3442741 | Component LOD-HCI-PI-OP-NM | Stack overflow vulnerability on the component images of SAP Integration Suite (EDGE INTEGRATION CELL). Product – SAP Edge Integration Cell, Versions older than 8.13.5
- SAP Note 3359778 | Component BC-CST-DP | [CVE-2024-30218] Denial of service (DOS) vulnerability in SAP NetWeaver AS ABAP and ABAP Platform. Product – SAP NetWeaver AS ABAP and ABAP Platform, Versions – KRNL64NUC 7.22, KRNL64NUC 7.22EXT, KRNL64UC 7.22, KRNL64UC 7.22EXT, KRNL64UC 7.53, KERNEL 7.22, KERNEL 7.53, KERNEL 7.77, KERNEL 7.85, KERNEL 7.89, KERNEL 7.54, KERNEL 7.93
- SAP Note 3442378 | Component FIN-CS-CDC-DC | [CVE-2024-28167] Missing Authorization check in SAP Group Reporting Data Collection (Enter Package Data). Product – SAP Group Reporting Data Collection (Enter Package Data), Versions – S4CORE 104, S4CORE 105, S4CORE 106, S4CORE 107, S4CORE 108, SAP_GRDC_CLOUD 1.0.0
- SAP Note 3164677 | Component PA-FIO-LEA | Update to Security Note released on May 2022 Patch Day: [CVE-2022-29613] Information Disclosure vulnerability in SAP Employee Self Service(Fiori My Leave Request). Product- SAP Employee Self Service (Fiori My Leave Request), Version – 605
- SAP Note 3156972 | Component MM-FIO-PUR-REQ-SSP | Update to Security Note released on August 2023 Patch Day: [CVE-2023-40306] URL Redirection vulnerability in SAP S/4HANA (Manage Catalog Items and Cross-Catalog search). Product- SAP S/4HANA (Manage Catalog Items and Cross-Catalog search), Versions – S4CORE 103, S4CORE 104, S4CORE 105, S4CORE 106
- SAP Note 3425188 | Component BC-ESI-WS-JAV-RT | [CVE-2024-27898] Server-Side Request Forgery in SAP NetWeaver (tc~esi~esp~grmg~wshealthcheck~ear). Product – SAP NetWeaver, Version – 7.50
- SAP Note 3421453 | Component BC-MID-BUS | [Multiple CVEs] Cross-Site Scripting (XSS) vulnerabilities in SAP Business Connector. CVEs – CVE-2024-30214, CVE-2024-30215
- Product – SAP Business Connector, Version – 4.8
- SAP Note 3427178 | Component FIN-FSCM-CLM-BAM | [CVE-2024-30216] Missing Authorization check in SAP S/4 HANA (Cash Management). Product– SAP S/4 HANA (Cash Management), Versions – S4CORE 103, S4CORE 104, S4CORE 105, S4CORE 106, S4CORE 107, S4CORE 108
- SAP Note 3430173 | Component FIN-FSCM-CLM-BAM | [CVE-2024-30217] Missing Authorization check in SAP S/4 HANA (Cash Management). Product- SAP S/4 HANA (Cash Management), Versions – S4CORE 106, S4CORE 107, S4CORE 108
Bleiben Sie sicher und halten Sie Ihr System auf dem neuesten Stand!
Es ist immer wichtig, stets wachsam zu bleiben und sicherzustellen, dass Ihr SAP-System auf dem neuesten Stand ist. Das frühzeitige und konsequente Anwenden von Sicherheitspatches schützt nicht nur Ihre Daten, sondern auch die Konsistenz und Integrität Ihres gesamten Unternehmens.