SAP Security Patch Day Dezember 2022

Um sicherzustellen, dass Sie über die neuesten Sicherheitspatches für Ihre SAP-Landschaft auf dem Laufenden bleiben, empfehle ich Ihnen, das offizielle PDF-Dokument von SAP zu lesen oder das Support-Portal mit dem Filter „Patch Day“ aufzurufen. Auf diese Weise können Sie alle relevanten Hinweise zu den in Ihrer Umgebung eingesetzten SAP-Lösungen identifizieren. Als Referenz hat SAP die Informationen aus dem Jahr 2022 auch in einem separaten PDF archiviert.

Vollständiger Benutzerzugriff in Business Objects
Eine der kritischen Schwachstellen, die im Patchday dieses Monats behoben werden, ist eine SSRF-Schwachstelle (Server-Side Request Forgery) in SAP BusinessObjects Business Intelligence Platform. Mit einem CVSS-Score von 9,9/10 ermöglicht diese Schwachstelle Angreifern mit normalen BI-Benutzerrechten, beliebige Dateien auf das Betriebssystem des Servers hochzuladen oder zu ersetzen. Als Lösung für dieses Problem hat SAP ein Supportpaket bereitgestellt. Weitere Informationen finden Sie im SAP-Sicherheitshinweis Nr. 3239475 – [CVE-2022-41267] Sicherheitslücke bezüglich serverseitiger Anforderungsfälschung in SAP BusinessObjects Business Intelligence Platform.

Datenextraktion und -modifikation in AS Java / SAP Process Integration
Ursprünglich unter SAP Process Integration aufgeführt, wurde diese Schwachstelle aktualisiert und umfasst jetzt auch AS Java. Mit einem CVSS-Score von 9,9/10 ermöglicht die Schwachstelle unbefugten Zugriff und begrenzte Änderung von Benutzerdaten in AS Java über eine offene JNDI-Schnittstelle ohne ordnungsgemäße Benutzerauthentifizierung. SAP hat einen Patch im SAP-Sicherheitshinweis Nr. 3273480 – [CVE-2022-41272] Unsachgemäße Zugriffskontrolle in SAP NetWeaver AS Java (Benutzerdefinierte Suche) veröffentlicht, um diese Schwachstelle zu beheben.

Ein zweiter Hinweis mit einem etwas niedrigeren CVSS-Score von 9,4/10 konzentriert sich ebenfalls auf AS Java und erwähnt zunächst die Prozessintegration. Diese Schwachstelle nutzt die JNDI-Schnittstelle im Messaging-System von AS Java aus. Es gibt keine verfügbare Problemumgehung für dieses Problem und die erforderlichen Patches werden im Hinweis bereitgestellt. Weitere Einzelheiten finden Sie im SAP-Sicherheitshinweis Nr. 3267780 – [CVE-2022-41271] Unsachgemäße Zugriffskontrolle in SAP NetWeaver AS Java (Messaging System).

Es ist erwähnenswert, dass die Schwachstelle in beiden Fällen nur über das P4-Protokoll ausgenutzt werden kann. Daher ist es wichtig sicherzustellen, dass dieses Protokoll nicht im gesamten Netzwerk offengelegt wird. Wenn Ihr Unternehmen mit der Netzwerksegmentierung zwischen Servern und Clients zu kämpfen hat, können diese Schwachstellen als Argumente für die Implementierung geeigneter Netzwerksicherheitsmaßnahmen dienen.

Sicherheitslücke bezüglich Remotecodeausführung in SAP Commerce
SAP Commerce ist von einer kritischen Sicherheitslücke im Zusammenhang mit der Apache Commons Text Java-Bibliothek betroffen. Mit einem CVSS-Score von 9,8/10 könnte diese Schwachstelle das Einschleusen von Schadcode ermöglichen. SAP empfiehlt die Anwendung der aufgeführten Supportpakete, um dieses Problem zu beheben. Weitere Informationen finden Sie im SAP-Sicherheitshinweis Nr. 3271523 – Schwachstelle bezüglich Remotecodeausführung im Zusammenhang mit Apache Commons Text in SAP Commerce.

Code-Injektion in AS ABAP
Diese Schwachstelle in SAP_BASIS verfehlt zwar knapp die Kategorie „Hot News“, erhält aber einen CVSS-Score von 8,8. Der betroffene Funktionsbaustein SHDB_TOOLS_RFC_WRAPPER für BW-Tabellen kann ausgenutzt werden, um die vollständige Kontrolle über das System zu erlangen. Die bereitgestellte Korrektur im SAP-Sicherheitshinweis #3268172 – [CVE-2022-41264] Code-Injection-Schwachstelle in SAP BASIS deaktiviert den kritischen Code. Da der Funktionsbaustein nur in ganz bestimmten Fällen benötigt wird, sollte die Umsetzung dieses Hinweises keine Auswirkungen auf produktive Prozesse haben.

Die neuen Hot News Notes im Detail
Eine sehr wichtige Note bei der Behebung zweier kritischer Schwachstellen in SAP NetWeaver Process Integration (PI) wurde veröffentlicht. SAP identifizierte Schwachstellen im Messaging-System und in der benutzerdefinierten Suche, die Dienste über das P4-Protokoll (ggf. auch bei P4Sec) offenlegten, ohne dass eine Benutzerauthentifizierung erforderlich war. Der SAP-Sicherheitshinweis Nr. 3273480 behebt die Schwachstelle der benutzerdefinierten Suche mit einem CVSS-Score von 9,9. Der SAP-Sicherheitshinweis Nr. 3267780 deckt die Sicherheitslücke im Messaging-System ab, die mit einem CVSS-Score von 9,4 gekennzeichnet ist. Beide Hinweise stellen Patches bereit, die die Benutzerauthentifizierung und entsprechende Autorisierungen erzwingen. Darüber hinaus erweitern sie die Berechtigungen bestimmter UME-Rollen (User Management Engine).

Der SAP-Sicherheitshinweis Nr. 3239475 mit einem CVSS-Score von 9,9 behebt eine kritische Sicherheitslücke in Bezug auf serverseitige Anforderungsfälschung in SAP BusinessObjects Business Intelligence Platform. Angreifer mit „normalen BI-Benutzerrechten“ können Dateien auf das Betriebssystem des Servers hochladen und ersetzen und so möglicherweise die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung gefährden.

SAP-Sicherheitshinweise mit hoher Priorität
Zu den in diesem Monat veröffentlichten Notes mit hoher Priorität gehören mehrere SAP Hot News-Hinweise, die kritische Schwachstellen adressierten. Der SAP Security Patch Day im Dezember unterstreicht die entscheidende Bedeutung der Behebung von Schwachstellen in verschiedenen SAP-Anwendungen. Für SAP-Administratoren ist es von entscheidender Bedeutung, proaktiv zu bleiben und die erforderlichen Sicherheitspatches zu implementieren, um ihre Systeme vor potenziellen Angriffen zu schützen. Durch die Einhaltung der SAP-Richtlinien und die regelmäßige Anwendung von Patches können Unternehmen Sicherheitsrisiken mindern und die Integrität, Vertraulichkeit und Verfügbarkeit ihrer SAP-Landschaften sicherstellen

• 3265173 [CVE-2022-41261] Improper Access Control in SAP Solution Manager (Diagnostic Agent)
• 3258950 Update 1 to Security Note 2872782 – [CVE-2020-6215] URL Redirection vulnerability in SAP NetWeaver AS ABAP (BSP Test Application)
• 3267780 [CVE-2022-41271] Improper access control in SAP NetWeaver Process Integration (Messaging System)
• 3271313 [CVE-2022-41275] Offener Redirect in SAP Solutions Manager (Enterprise Search)
• 3239475 [CVE-2022-41267] Server-Side Request Forgery vulnerability in SAP BusinessObjects Business Intelligence Platform
• 3266846 [CVE-2022-41274] Missing Authorization Checks in SAP Disclosure Management
• 3262544 [CVE-2022-41262] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver AS for Java (Http Provider Service)
• 3273480 [CVE-2022-41272] Improper access control in SAP NetWeaver Process Integration (User Defined Search)
• 3248255 [CVE-2022-41266] Cross-Site Scripting (XSS) vulnerability in SAP Commerce
• 3249648 [CVE-2022-41263] Missing authentication check vulnerability in SAP Business Objects Business Intelligence Platform (Web intelligence)
• 3271523 Remote Code Execution vulnerability associated with Apache Commons Text in SAP Commerce
• 3271091 [CVE-2022-41268] Privilege escalation vulnerability in SAP Business Planning and Consolidation
• 3268172 [CVE-2022-41264] Code Injection vulnerability in SAP BASIS
• 3270399 [CVE-2022-41273] URL Redirection vulnerability in SAP Sourcing and SAP Contract Lifecycle Management
• 2872782 [CVE-2020-6215] URL Redirection vulnerability in SAP NetWeaver AS ABAP – Business Server Pages Test Application IT00
• 3234755 Information Disclosure vulnerability in Master Data Governance
• 3229132 [CVE-2022-39013] Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (Program Objects)