SAP Security Patchday Mai 2024 | Customer Experience (CX) SAP_BASIS NetWeaver Application Server ABAP

SAP Note 3455438 SAP für Customer Experience (CX) with 9.8 CVSS

HotNews: Diese SAP-Sicherheitsmitteilung behandelt zwei identifizierte Schwachstellen in CX Commerce. Die Details der Schwachstellen und ihre relevanten CVE-Informationen sind unten aufgeführt:

CSS Injection Schwachstelle

SAP CX Commerce verwendet Swagger UI, das anfällig für CVE-2019-17495 (CSS Injection) ist. Diese Schwachstelle ermöglicht es Angreifern, die Relative Path Overwrite (RPO)-Technik in CSS-basierten Eingabefeldern durchzuführen, was hohe Risiken für die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung darstellt.

Remote Code Execution

Aufgrund unsachgemäßer Initialisierung ist SAP CX Commerce, das Apache Calcite Avatica 1.18.0 verwendet, anfällig für CVE-2022-36364 (Remote Code Execution). Der JDBC-Treiber von Apache Calcite Avatica erstellt HTTP-Client-Instanzen basierend auf Klassennamen, die über die httpclient_impl-Verbindungseigenschaft bereitgestellt werden. Der Treiber überprüft jedoch nicht, ob die Klasse die erwartete Schnittstelle implementiert, bevor sie instanziiert wird, was zur Ausführung von Code über beliebige Klassen und in seltenen Fällen zur Remote-Code-Ausführung führen kann.

CX Commerce 2205.18 ist betroffen durch die Nutzung von Swagger UI-Versionen vor 3.23.11 und Apache Calcite Avatica vor 1.22.0. Die Abhängigkeit von swagger-ui 3.20.1 wurde transitiv von wiremock-standalone-2.23.2 eingebracht und innerhalb von ‚odata2webservicesfeaturetests‘ verwendet. Die Abhängigkeit von avatica-core wurde transitiv von Solr eingebracht.

• Die einzige Test-Erweiterung (odata2webservicesfeaturetests), die swagger-ui 3.20.1 verwendet, wurde vollständig entfernt und die Test-Erweiterung wurde de-freigegeben.
• Avatica-core wurde auf 1.23.0 aktualisiert, indem Solr auf 8.11.3 aktualisiert wurde.
• Der Fix für beide Bibliotheken ist im neuesten Patch, SAP Commerce Cloud Patch Release 2205.24, verfügbar. Erhältlich im Software-Download.

Diese Sicherheitsnotiz ist kritisch und sollte zeitnah umgesetzt werden, um die Integrität und Sicherheit der betroffenen Systeme zu gewährleisten.

SAP Note 3448171 for SAP_BASIS NetWeaver Application Server ABAP with 9.6 CVSS

HotNews: Ein nicht authentifizierter Angreifer kann eine bösartige Datei auf den Server hochladen, die bei Zugriff durch ein Opfer den Angreifer in die Lage versetzen kann, das System vollständig zu kompromittieren. Die Inhaltsrepositories „FILESYSTEM“ und „SOMU_DB“ sind mit der Option „Keine Signatur“ konfiguriert.

Durch diese Korrektur wird eine sichere Standardkonfiguration implementiert. Die Konfiguration gilt nur für Neuinstallationen. Der Administrator muss nach einem Upgrade oder Update auf die in dieser SAP-Hinweis erwähnte Version die Änderungen vornehmen. Bitte beachten Sie SAP-Hinweis 3448453 für weitere Details.

Bitte prüfen Sie die Anwendbarkeit des Workarounds für Ihre SAP-Landschaft vor der Implementierung. Beachten Sie, dass dieser Workaround eine temporäre Lösung ist und keine dauerhafte Lösung darstellt. SAP empfiehlt dringend, die im Sicherheitshinweis beschriebenen Korrekturen anzuwenden, die anstelle des Workarounds oder nach der Implementierung des Workarounds durchgeführt werden können.

Schritte zur Umsetzung des Workarounds

1. Führen Sie die Transaktion ‚OAC0‘ aus.
2. Öffnen Sie das Inhaltsrepository ‚FILESYSTEM‘ für alle Releases.
3. Ändern Sie die Versionsnummer auf ‚0047‘ (Content Server Version 4.7).
4. Deaktivieren Sie das Kontrollkästchen „Keine Signatur“.
5. Speichern Sie die Einstellungen.
6. Führen Sie die Transaktion ‚OAC0‘ erneut aus.
7. Öffnen Sie das Inhaltsrepository ‚SOMU_DB‘ im Falle von Release 7.50 oder höher.
8. Ändern Sie die Versionsnummer auf ‚0047‘ (Content Server Version 4.7).
9. Deaktivieren Sie das Kontrollkästchen „Keine Signatur“.
10. Speichern Sie die Einstellungen.

SAP Note 3431794 for with 8.1 CVSS

High Security Note: Die SAP Business Objects Business Intelligence Platform ist anfällig für Stored XSS (Cross-Site Scripting), was es einem Angreifer ermöglicht, einen Parameter in der Opendocument-URL zu manipulieren. Dies kann zu erheblichen Beeinträchtigungen der Vertraulichkeit und Integrität der Anwendung führen. Benutzerdefinierte Eingabeparameter in der Opendocument-URL wurden bereinigt. Für den Wartungsplan und die Strategie der Business Intelligence Platform siehe den Knowledge Base Artikel 2144559 im Abschnitt Referenzen. Implementieren Sie die in diesem SAP-Sicherheitshinweis genannten Support Packages und Patches.

Hier finden Sie die SAP Notes (sortiert nach dem CVSS-Rank)

• SAP Note 2622660 | Update to Security Note released on April 2018 Patch Day: Security updates for the browser control Google Chromium delivered with SAP Business Client Product – SAP Business Client, Versions – 6.5, 7.0, 7.70
• SAP Note 3455438 | [CVE-2019-17495] Multiple vulnerabilities in SAP CX Commerce Related CVE – CVE-2022-36364 Product- SAP Commerce, Version – HY_COM 2205
• SAP Note 3448171 | [CVE-2024-33006] File upload vulnerability in SAP NetWeaver Application Server ABAP and ABAP Platform Product- SAP NetWeaver Application Server ABAP and ABAP Platform, Versions – SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758
• SAP Note 3431794 | [CVE-2024-28165] Cross site scripting vulnerability in SAP BusinessObjects Business Intelligence Platform Product- SAP BusinessObjects (Business Intelligence Platform), Versions – 430, 440
• SAP Note 3441944 | [CVE-2024-32730] Missing authorization check in SAP Enable Now Manager Product- SAP Enable Now, Version – 1704
• SAP Note 3448445 | [CVE-2024-34687] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Application server for ABAP and ABAP Platform Product- SAP NetWeaver Application server for ABAP and ABAP Platform, Versions – SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 795, SAP_BASIS 796
• SAP Note 3450286 | [CVE-2024-32733] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Application Server ABAP and ABAP Platform Product- SAP NetWeaver Application Server ABAP and ABAP Platform, Versions – SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758
• SAP Note 3460772 | [CVE-2024-33002] Cross-Site Scripting (XSS) Vulnerability in SAP S/4HANA (Document Service Handler for DPS) Product- SAP S/4HANA (Document Service Handler for DPS), Versions – SAP_BASIS 740, SAP_BASIS 750
• SAP Note 3447467 | [CVE-2024-32731] Missing Authorization check in SAP My Travel Requests Product- My Travel Requests, Version – 600
• SAP Note 2745860 | Update to Security Note released on May 2021 Patch Day: Information Disclosure in Enterprise Services Repository of SAP Process Integration Product – SAP Process Integration, Versions – MESSAGING 7.31, MESSAGING 7.40, MESSAGING 7.50, NWCEIDE 7.31, SAP_XIESR 7.31, SAP_XIESR 7.40, SAP_XIESR 7.50, SAP_XITOOL 7.31, SAP_XITOOL 7.40, SAP_XITOOL 7.50, SAP_XIAF 7.31, SAP_XIAF 7.40, SAP_XIAF 7.50, SAP_XIGUILIB 7.31, SAP_XIGUILIB 7.40, SAP_XIGUILIB 7.50
• SAP Note 3349468 | [CVE-2024-33008] Memory Corruption vulnerability in SAP Replication Server Product– SAP Replication Server, Versions – 16.0, 16.0.3, 16.0.4
• SAP Note 3434666 | [Multiple CVEs] Missing Authorization Checks in SAP S/4 HANA (Manage Bank Statement Reprocessing Rules) CVEs – CVE-2024-4139, CVE-2024-4138 Product– SAP S/4 HANA (Manage Bank Statement Reprocessing Rules), Versions – SAPSCORE 131, S4CORE 105, S4CORE 106, S4CORE107, S4CORE 108
• SAP Note 3449093 | [CVE-2024-33004] Insecure Storage vulnerability in SAP BusinessObjects Business Intelligence Platform (Webservices) Product– SAP BusinessObjects Business Intelligence Platform (Webservices), Versions – 430, 440
• SAP Note 2174651 | Update to Security Note released on December 2017 Patch Day: Potential information disclosure relating to PI Integration Directory Product – SAP Process Integration, Versions – MESSAGING 7.10, MESSAGING 7.11, MESSAGING 7.30, MESSAGING 7.31, MESSAGING 7.40, MESSAGING 7.50, NWCEIDE 7.31, SAP_XITOOL 7.00, SAP_XITOOL 7.01, SAP_XITOOL 7.02, SAP_XITOOL 7.10, SAP_XITOOL 7.11, SAP_XITOOL 7.30, SAP_XITOOL 7.31, SAP_XITOOL 7.40, SAP_XITOOL 7.50, SAP_XIAF 7.31, SAP_XIAF 7.40, SAP_XIAF 7.50, SAP_XIPCK 7.00, SAP_XIPCK 7.01, SAP_XIPCK 7.02, SAP_XIPCK 7.10, SAP_XIPCK 7.11, SAP_XIPCK 7.30
• SAP Note 1938764 | [CVE-2024-33009] SQL injection vulnerability in SAP Global Label Management (GLM) Product– SAP Global Label Management (GLM), Versions – 605, 606, 616, 617
• SAP Note 3392049 | [CVE-2024-33000] Missing Authorization check in SAP Bank Account Management Product – SAP Bank Account Management, Versions – 100, 101, 102, 103, 104, 105, 106, 107, 108
• SAP Note 3446076 | [CVE-2024-33007] Client-side script execution vulnerability in SAP UI5(PDFViewer) Product – SAPUI5, Versions – 754, 755, 756, 757, 758

Bleiben Sie sicher und halten Sie Ihr System auf dem neuesten Stand!

Es ist immer wichtig, stets wachsam zu bleiben und sicherzustellen, dass Ihr SAP-System auf dem neuesten Stand ist. Das frühzeitige und konsequente Anwenden von Sicherheitspatches schützt nicht nur Ihre Daten, sondern auch die Konsistenz und Integrität Ihres gesamten Unternehmens.