SAP Security Patch Day Februar 2023

Kommentar verfassen / Von /

Wichtige Hinweise für SAP Basis Administratoren: Highlights der SAP Security Notes vom 14. Februar 2023. 

SAP Security Patchday 2023-02 Februar
SAP Security Patchday

SAP-Systeme sind in vielen Unternehmen entscheidend für den reibungslosen Betrieb und die Sicherheit der Geschäftsprozesse. Als SAP Basis Administrator ist es wichtig, über die neuesten Sicherheitspatches und relevanten Hinweise informiert zu sein. Im Februar 2023 hat SAP insgesamt 26 Security-Hinweise veröffentlicht, darunter einen HotNews-Hinweis und fünf High Priority-Hinweise. In diesem Artikel werden die Highlights dieser Security Notes zusammengefasst.

HotNews-Hinweis für SAP Business Client:
Der einzige HotNews-Hinweis im Februar betrifft den SAP Business Client und trägt die Nummer #2622660. Dieser Hinweis behebt die neuesten Schwachstellen im Chromium-Browser, der vom SAP Business Client verwendet wird. Es wurden insgesamt 54 Chromium-Schwachstellen behoben, davon 22 mit hoher Priorität. Die maximale CVSS-Score aller behobenen Schwachstellen beträgt 8,8. Es wird dringend empfohlen, diesen Patch umgehend zu installieren, da die Sicherheit des SAP Business Clients von großer Bedeutung ist.

High Priority-Hinweise im Detail:
Von den fünf High Priority-Hinweisen sind zwei aktualisierte Versionen von zuvor veröffentlichten Hinweisen, die ursprünglich am Dezember Patch Day veröffentlicht wurden. Hier sind die wichtigsten Informationen zu den neuen High Priority-Hinweisen:

SAP Security Note #3268172:
Dieser Hinweis, mit einem CVSS-Score von 8,8, betrifft Kunden, die SAP auf einer Datenbank außerhalb von HANA betreiben. Es handelt sich um eine kritische Schwachstelle, die Kunden, die nicht auf HANA basieren, ebenfalls betrifft. Es wird empfohlen, diesen Hinweis zu beachten und entsprechende Maßnahmen zu ergreifen.

High Priority-Hinweis #3271091:
Dieser Hinweis, mit einem CVSS-Score von 8,5, behebt eine Privilege Escalation-Schwachstelle in SAP Business Planning and Consolidation. Der Hinweis wurde nur mit einigen geringfügigen Textänderungen aktualisiert und erfordert keine neuen Maßnahmen, wenn er bereits implementiert wurde.

Hinweise für SAP BusinessObjects:
Die beiden verbleibenden High Priority-Hinweise betreffen SAP BusinessObjects-Kunden. Hier sind die Details zu den Hinweisen:

SAP Security Note #3263135:
Dieser Hinweis, mit einem CVSS-Score von 8,5, behebt eine Information Disclosure-Schwachstelle in der SAP BusinessObjects Business Intelligence-Plattform. Ein Angreifer benötigt eine Authentifizierung, um diese Schwachstelle auszunutzen. Ein erfolgreicher Angriff kann zu erheblichen Auswirkungen auf die Vertraulichkeit und begrenzten Auswirkungen auf die Integrität der Anwendung führen.

SAP Security Note #3256787:
Dieser Hinweis, mit einem CVSS-Score von 8,4, behebt eine Schwachstelle, die es einem authentifizierten Administrator ermöglicht, bösartigen Code hochzuladen, der von der Anwendung über das Netzwerk ausgeführt werden kann. Obwohl die Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung hoch sind, ist der CVSS-Score niedriger als bei SAP Security Note #3263135, da ein Angreifer über Admin-Privilegien verfügen muss.

Beitrag des Onapsis Research Labs:
Das Onapsis Research Labs (ORL) hat SAP bei der Behebung mehrerer Schwachstellen unterstützt. Neben der kritischen Schwachstelle im SAP Host Agent wurden neun Cross-Site Scripting-Schwachstellen und drei URL Redirection-Schwachstellen gepatcht. Diese Schwachstellen betrafen verschiedene SAP-Anwendungen und erfordern eine entsprechende Aktualisierung der betroffenen Softwarekomponenten.

Fazit:
Als SAP Basis Administrator ist es von entscheidender Bedeutung, über die neuesten Sicherheitspatches und relevanten Hinweise informiert zu sein. Die im Februar 2023 veröffentlichten SAP Security Notes enthalten wichtige Informationen zu Schwachstellen und deren Behebung. Es wird dringend empfohlen, die entsprechenden Patches umgehend zu installieren, um die Sicherheit der SAP-Systeme zu gewährleisten und potenzielle Exploits zu verhindern.

  • 2622660 Security updates for the browser control Google Chromium delivered with SAP Business Client
  • 3271091 [CVE-2022-41268] Privilege escalation vulnerability in SAP Business Planning and Consolidation
  • 3256787 [CVE-2023-24530] Unrestricted Upload of File in SAP BusinessObjects Business Intelligence Platform (CMC)
  • 3287291 [CVE-2023-23854] Missing Authorization check in SAP NetWeaver AS ABAP and ABAP Platform
  • 3285757 [CVE-2023-24523] Privilege Escalation vulnerability in SAP Host Agent (Start Service)
  • 2788178 [CVE-2023-24525] Cross-Site Scripting (XSS) vulnerability in SAP CRM WebClient UI
  • 2985905 [CVE-2023-24524] Missing Authorization check in SAP S/4 HANA Map Treasury Correspondence Format Data
  • 3275841 [CVE-2023-23851] Unrestricted File Upload in SAP Business Planning and Consolidation
  • 3293786 [CVE-2023-23858] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver AS for ABAP and ABAP Platform
  • 3281724 [CVE-2023-0019] Missing Authorization check in SAP GRC (Process Control)
  • 3290901 [CVE-2023-24528] Missing Authorization Check in SAP Fiori apps for Travel Management in SAP ERP (My Travel Requests)
  • 3282663 [CVE-2023-24529] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver AS ABAP (Business Server Pages application)
  • 3274585 [CVE-2023-25614] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver AS ABAP (BSP Framework)
  • 3269118 [CVE-2023-24522] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver AS ABAP (BSP Framework)
  • 3269151 [CVE-2023-24521] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver AS ABAP (BSP Framework)
  • 3271227 [CVE-2023-23853] URL Redirection vulnerability in SAP NetWeaver Application Server for ABAP and ABAP Platform
  • 3268959 [Multiple CVEs] Multiple vulnerabilities in SAP NetWeaver AS for ABAP and ABAP Platform
  • 3266751 [CVE-2023-23852] Cross-Site Scripting (XSS) vulnerability in SAP Solution Manager 7.2
  • 3265846 [CVE-2023-0024] Cross Site Scripting in SAP Solution Manager (BSP Application)
  • 3267442 [CVE-2023-0025] Cross Site Scripting in SAP Solution Manager (BSP Application)
  • 3270509 [CVE-2023-23855] URL Redirection vulnerability in SAP Solution Manager
  • 3263135 [CVE-2023-0020] Information disclosure vulnerability in SAP BusinessObjects Business Intelligence platform
  • 3263863 [CVE-2023-23856] Cross-Site Scripting (XSS) vulnerability in Web Intelligence Interface
  • 3262544 [CVE-2022-41262] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver AS for Java (Http Provider Service)

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Nach oben scrollen