SAP Security Patch Day Juli 2023

Kommentar verfassen / Von /

Liebe Leserinnen und Leser,

die IT Security im SAP Umfeld kennt keine Sommerpause. BALTX.COM liefert eine kompakte Zusammenstellung und Analyse der wichtigsten Themen zum SAP Security Patch am 11.07.2023. Das Common Vulnerability Scoring System (CVSS) ist ein offenes und herstellerneutrales Framework, das zur Kommunikation der Eigenschaften und Schweregrade von Software-Schwachstellen dient. Es wurde entwickelt, um die Ansätze zur Risikobewertung über mehrere Anbieter hinweg zu vereinheitlichen. Die Verantwortung für CVSS liegt bei FIRST (Forum of Incident Response and Security Teams). Dieses System spielt eine entscheidende Rolle dabei, wie Sicherheitsrisiken bewertet und kommuniziert werden, und bietet sowohl Unternehmen als auch Einzelpersonen einen klaren und konsistenten Ansatz zur Beurteilung potenzieller Bedrohungen.

SAP Security Patchday 2023-06 Juni

Der SAP Security Patch Day für Juli 2023 hat mehrere wichtige Updates in den SAP-Systemen enthüllt. Dieser Artikel prüft die Schwachstellen, gibt einen Überblick über die Schweregrade und bietet Ratschläge zur Bewältigung der identifizierten Probleme.

Insgesamt wurden 18 neue Sicherheitshinweise (seit dem letzten Patchday im Juni) veröffentlicht und einer aktualisiert. Die von diesen Schwachstellen betroffenen Systeme sind SAP Solution Manager, SAP ECC und SAP S/4HANA, SAP NetWeaver, SAP Business Client, SAP BusinessObjects Business Intelligence Plattform, SAP ERP Defense Forces und Public Security, SAP Business Warehouse und SAP BW/4HANA, SAP SQL Anywhere, SAP Enable Now und SAP S/4HANA. Unter den Problemen waren die drei kritischsten Fehler in SAP Business Client, SAP ECC und SAP S/4HANA (IS-OIL) und SAP NetWeaver (BI CONT ADD ON) zu finden. Diese Schwachstellen wurden basierend auf dem Common Vulnerability Scoring System (CVSS), einem offenen und anbieterneutralen Rahmenwerk zur Kommunikation der Eigenschaften und Schweregrade von Software-Schwachstellen, mit der höchsten Schwere eingestuft. Besonders bemerkenswert unter den Updates ist eine Reihe von Sicherheitspatches für die Browsersteuerung Google Chromium, die mit dem SAP Business Client geliefert wurde. Diesem kritischen Patch folgte eine OS-Befehlsinjektions-Schwachstelle, die in SAP ECC und SAP S/4HANA (IS-OIL) entdeckt wurde, und eine Directory-Traversal-Schwachstelle in SAP NetWeaver (BI CONT ADD ON).

Die Schwachstellen reichen von unautorisiertem Zugriff, Header-Injection, Log-Injection, falscher Zugriffskontrolle bis hin zu Protokoll-Injection und anderen. Jede Schwachstelle wird durch eine CVSS-Bewertung bezüglich ihrer Schwere und einer empfohlenen Vorgehensweise begleitet. SAP hat die entsprechenden Fixes für alle identifizierten Schwachstellen veröffentlicht. Diese sind auf dem SAP Support Portal erhältlich. Links zu den jeweiligen Hinweisen stehen für weitere Referenzen zur Verfügung. Angesichts dieser Enthüllungen wird dringend empfohlen, die identifizierten Schwachstellen zu überprüfen und die notwendigen Patches so schnell wie möglich anzuwenden. Dies ist entscheidend, um die Sicherheit und Integrität Ihrer SAP-Systeme aufrechtzuerhalten.

Für Organisationen, die eines der betroffenen SAP-Systeme betreiben, ist es wichtig, eine gründliche Risikobewertung durchzuführen und die Patch-Anwendung basierend auf den CVSS-Werten und der Kritikalität der Systeme in Ihrer IT-Landschaft zu priorisieren. Zusammenfassend unterstrich der SAP Patch Day im Juli die fortwährende Bedeutung eines proaktiven Sicherheitsmanagements in SAP-Umgebungen. Unternehmen müssen wachsam und reaktionsschnell bleiben, um sichere, robuste und zuverlässige Systeme aufrechtzuerhalten.

  • 3352058 [CVE-2023-36925] Nicht authentifizierter blinder SSRF in SAP Solution Manager (Diagnostics-Agent)
  • 3348145 [CVE-2023-36921] Header-Injection in SAP Solution Manager (Diagnostics-Agent)
  • 3351410 [CVE-2023-36924] Protokoll-Injection-Schwachstelle in SAP ERP Defense Forces and Public Security
  • 3088078 [CVE-2023-33992] Fehlende Berechtigungsprüfung in SAP Business Warehouse und SAP BW/4HANA
  • 3324732 [CVE-2023-31405] Log-Injection-Schwachstelle in SAP NetWeaver AS für Java (Log Viewer)
  • 3350297 [CVE-2023-36922] BS-Befehl-Injection-Schwachstelle in SAP ECC und SAP S/4HANA (IS-OIL)
  • 3318850 [CVE-2023-35874] Falsche Zugriffskontrolle in SAP NetWeaver AS ABAP und ABAP-Plattform
  • 3343564 [CVE-2023-35872] Fehlende Berechtigungsprüfung in SAP NetWeaver Process Integration (Message Display Tool)
  • 3343547 [CVE-2023-35873] Fehlende Berechtigungsprüfung in SAP NetWeaver Process Integration (Runtime Workbench)
  • 3331029 [CVE-2023-33990] Denial-of-Service-Schwachstelle (DoS) in SAP SQL Anywhere
  • 3326769 [Mehrere CVEs] Mehrere Sicherheitsschwachstellen in SAP Enable Now
  • 3331376 [CVE-2023-33989] Directory-Traversal-Schwachstelle in SAP NetWeaver (BI_CONT-ADD-ON)
  • 3320702 [CVE-2023-36917] Umgehung der Kennwortänderungsratenbegrenzung in SAP-BusinessObjects-Business-Intelligence-Plattform
  • 3340735 [CVE-2023-35871] Speicherbeschädigungsschwachstelle in SAP Web Dispatcher
  • 3233899 [CVE-2023-33987] Schwachstelle bezüglich Request-Smuggling und Request-Verkettung in SAP Web Dispatcher
  • 2622660 Sicherheitsupdates für Browser-Control Google Chromium in SAP Business Client
  • 3341211 [CVE-2023-35870] Unzulässige Zugriffskontrolle in SAP S/4HANA („Buchungsbelegvorlage verwalten“)
  • 3324285 [CVE-2023-33991] – Stored-Cross-Site-Scripting-Schwachstelle in SAP UI5 (Variantenverwaltung)

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Nach oben scrollen