SAP Security Patch Day Mai 2023

Zusammenfassend geht es nicht darum, eine bessere Sicherheitslage durch reaktive Einzelmaßnahmen zu erreichen, sondern durch einen mehrschichtigen Ansatz, der die Sicherheitsdomänen Systemhärtung und kontinuierliche Compliance-Überwachung, zeitnahe Behebung von Sicherheitslücken und Echtzeitüberwachung kombiniert. Kunden, die Schwachstellen in ihren eigenen ABAP/4-Entwicklungen analysieren und beheben, schließen auch diese – oft unbekannten – Angriffsvektoren.

Wir wissen, dass die Frage, ob die SAP Cyber Resilienz vor Zero-Day-Schwachstellen schützt, verschiedene Meinungen hervorruft. Was jedoch korrekt ist, ist, dass die intelligente Kombination von Verteidigungslinien zur frühzeitigen Erkennung selbst einer Zero-Day-Schwachstelle führt, die vom Angreifer in Kombination mit anderen Schwachstellen ausgenutzt wird oder sie sogar ganz verhindert. Bitte zögern Sie nicht, uns zu kontaktieren, wenn Sie mehr über dieses Thema erfahren möchten. Für den SAP Security Patch Day im Mai 2023 hat SAP 20 Sicherheitsupdates veröffentlicht, von denen sechs (6) Sicherheits-Notizen für SAP Business Objects sind. Wir empfehlen allen Kunden dieser Produktlinie dringend, alle relevanten Sicherheitspatches zu überprüfen und anzuwenden. Die höchste CVSS-Bewertung von 9,1 wurde dem Patch 3307833 zugewiesen, der [CVE-2023-28762] Informationsenthüllung in der SAP BusinessObjects Business Intelligence-Plattform (Central Management Console) behebt.

Es wurde ein HotNews-Patch (3328495) für mehrere Schwachstellen im Zusammenhang mit dem Reprise License Manager 14.2-Komponente veröffentlicht, die mit dem SAP 3D Visual Enterprise License Manager verwendet wird. Der Reprise License Manager ist eine Softwarekomponente von Drittanbietern, die Lizenzmanagementdienste für verschiedene Anwendungen, einschließlich des SAP 3D Visual Enterprise-Produkts, bereitstellt. Sie ermöglicht es Softwareanbietern, ihre Lizenzmodelle zu verwalten, und bietet Endbenutzern eine Möglichkeit, ihre Lizenzen zu aktivieren, zu verwalten, zu verlängern oder zu transferieren. Die genannten Schwachstellen könnten es einem Angreifer ermöglichen, vertrauliche Informationen preiszugeben, Dienstausfälle zu verursachen oder sogar die vollständige Kontrolle über den betroffenen Server zu erlangen.

Dies sollte einen Alarm auslösen und alle SAP-Benutzer dazu ermutigen, Sicherheitslücken ernst zu nehmen und zeitnah Maßnahmen zu ergreifen. Cyberkriminalität ist ein wachsendes Phänomen und die einzige Möglichkeit, dagegen anzukämpfen, besteht darin, ständig auf dem Laufenden zu bleiben und proaktiv zu handeln. Die Bedeutung von SAP-Sicherheitsupdates und Patches sollte nicht unterschätzt werden, da sie einen bedeutenden Beitrag zur Verbesserung der Cyber-Resilienz leisten können.

In Anbetracht der Tatsache, dass wir uns in einer digitalen Welt mit ständig wachsenden Cyber-Bedrohungen befinden, sollte Cyber-Resilienz ein grundlegendes Ziel jedes Unternehmens sein. Das Verstehen und Anwenden von SAP-Sicherheitspatches ist ein wichtiger Schritt in diese Richtung. Es geht nicht nur darum, Ihre Systeme zu schützen, sondern auch darum, das Vertrauen Ihrer Kunden und Geschäftspartner zu gewährleisten und zu stärken.

Lassen Sie uns gemeinsam arbeiten, um eine sicherere und widerstandsfähigere digitale Landschaft zu schaffen. Ein mehrschichtiger Sicherheitsansatz und der Einsatz von SAP-Sicherheitspatches sind entscheidend, um dieses Ziel zu erreichen. Wir sind hier, um Sie auf diesem Weg zu unterstützen und Ihnen bei der Erreichung Ihrer Cyber-Resilienz-Ziele zu helfen. Bitte zögern Sie nicht, uns zu kontaktieren, wenn Sie Fragen haben oder weitere Informationen benötigen.

• 2023-05-10: Offizielle Übersicht Offizielle SAP Security Patch Day
• 2023-05-10: ASUG SAP Patch Day Information Session (für Mitglieder)
• 2023-05-10: DSAG SAP Patch Day Information Session (für Mitglieder)

• 3117978 [CVE-2023-29111] Information Disclosure vulnerability in SAP Application Interface Framework (ODATA service)
• 3326210 [CVE-2023-30743] Improper Neutralization of Input in SAPUI5
• 3315979 [CVE-2023-29188] Cross-Site Scripting (XSS) vulnerability in SAP CRM WebClient UI
• 3309935 [CVE-2023-30741] Cross-Site Scripting (XSS) vulnerability in SAP BusinessObjects Business Intelligence platform
• 3313484 [CVE-2023-30740] Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence platform
• 3328495 Multiple vulnerabilities associated with Reprise License Manager 14.2 component used with SAP 3D Visual Enterprise License Manager
• 3317453 [CVE-2023-30744] Improper access control during application start-up in SAP AS NetWeaver JAVA
• 3315971 [CVE-2023-30742] Cross-Site Scripting (XSS) vulnerability in SAP CRM (WebClient UI)
• 3307833 [CVE-2023-28762] Information Disclosure in SAP BusinessObjects Business Intelligence Platform (Central Management Console)
• 3323415 [CVE-2023-29080] Privilege escalation vulnerability in SAP IBP, add-in for Microsoft Excel
• 3320467 [CVE-2023-32113] Information Disclosure vulnerability in SAP GUI for Windows
• 3320145 Denial of service (DOS) in SAP Commerce
• 3319400 [CVE-2023-31406] Cross-Site Scripting (XSS) vulnerability in SAP BusinessObjects Business Intelligence platform
• 3302595 [CVE-2023-28764] Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence platform
• 3300624 [CVE-2023-32111] Memory Corruption vulnerability in SAP PowerDesigner (Proxy)
• 3312892 [CVE-2023-31407] Cross-Site Scripting (XSS) vulnerability in SAP Business Planning and Consolidation
• 2335198 [CVE-2023-32112] Missing Authorization Check in Vendor Master Hierarchy
• 3321309 Information Disclosure vulnerability in SAP Commerce (Backoffice)
• 2622660 Security updates for the browser control Google Chromium delivered with SAP Business Client
• 3038911 [CVE-2023-31404] Information Disclosure in SAP BusinessObjects Business Intelligence Platform (Central Management Service)