SAP Security Patch Day Oktober 2023 | Google Chromium delivered with SAP Business Client

Kommentar verfassen / Von /

Liebe Leserinnen und Leser,

der 10. Oktober 2023 markiert einen Meilenstein in der fortlaufenden Reise zur digitalen Sicherheit. Mit der steigenden Abhängigkeit von Technologie und der unaufhörlichen Flut von Bedrohungen, die unsere digitalen Systeme ins Visier nehmen, hat SAP erneut gezeigt, dass sie an vorderster Front stehen, um Unternehmen und ihre Daten zu schützen. Heute veröffentlicht SAP seine neuesten Security Patches – ein entscheidender Schritt, um sicherzustellen, dass die Systeme gegen die neuesten identifizierten Schwachstellen gewappnet sind. Lassen Sie uns eintauchen und herausfinden, wie diese Aktualisierungen die Landschaft der digitalen Sicherheit neu gestalten werden!

SAP Security Patchday 2023-08 August

Der SAP Security Patch Day für Oktober 2023 hat mehrere wichtige Updates in den SAP-Systemen enthüllt. Dieser Artikel prüft die Schwachstellen, gibt einen Überblick über die Schweregrade und bietet Ratschläge zur Bewältigung der identifizierten Probleme.

Der SAP Business Client (SAP BC) dient als primäres Interface für viele SAP-Anwendungen und bietet über verschiedene Browser-Steuerungen, einschließlich Chromium, Zugriff auf Webinhalte und -anwendungen. Ein kürzlich identifizierter Programmfehler in der Softwarekomponente BC-FES-BUS-DSK hat erhebliche Sicherheitsbedenken aufgeworfen, da Informationen, die über diese Schwachstelle gesammelt werden können, für weiterführende Angriffe mit möglicherweise schwerwiegenderen Folgen verwendet werden könnten. https://me.sap.com/notes/2622660

SAP hat die Sicherheitslücke mit einem CVSS (Common Vulnerability Scoring System) Score von 10/10 bewertet, was auf ein maximales Sicherheitsrisiko hinweist. Diese Bewertung ist im NVD (National Vulnerability Database) zum Zeitpunkt der Veröffentlichung des jeweiligen SAP Business Client-Patches festgelegt. Es ist jedoch zu beachten, dass CVSS-Einstufungen nachträglich von Dritten reklassifiziert werden können, was zu Diskrepanzen führen kann.

Potenzielle Angriffsszenarien

  1. Informationserfassung für weiterführende Angriffe: Da die Informationen, die durch Ausnutzung der Schwachstelle gesammelt werden können, zur Vorbereitung weiterer Angriffe verwendet werden könnten, könnten Angreifer beispielsweise vertrauliche Daten extrahieren und diese zur Ausführung zielgerichteter Angriffe nutzen.
  2. Exploits im Umlauf: Google hat angegeben, dass Exploits für die CVEs CVE-2023-4863 und CVE-2023-5217 bereits im Umlauf sind. Das bedeutet, dass Angreifer aktiv versuchen könnten, diese Sicherheitslücken auszunutzen, um auf SAP-Systeme zuzugreifen und diese zu kompromittieren.
  3. Manipulation von Browser-Steuerelementen: Angreifer könnten versuchen, die integrierten Browser-Steuerelemente von SAP BC zu manipulieren, um Malware einzuschleusen oder den Datenverkehr zu überwachen.

Abhilfemaßnahmen

Die Lösung des Problems besteht darin, sicherzustellen, dass jeder neue SAP Business Client-Patch die aktuellste stabile Hauptversion des Chromium-Browser-Steuerelements enthält. Zum jetzigen Zeitpunkt beinhaltet der SAP Business Client 7.70 PL26 den Chromium Stable Release 117.0.5938.132. Für eine detaillierte Liste der mit diesem Release behobenen Sicherheitslücken empfiehlt es sich, die bereitgestellten Links zu den Chrome-Release-Notizen zu konsultieren.

SAP rät darüber hinaus dazu, zusätzliche Sicherheitsvorkehrungen zu treffen, wie sie in der SAP Business Client-Dokumentation beschrieben sind.

Für detaillierte Informationen zu allen oben genannten und anderen Patches, besuchen Sie bitte das offizielle SAP Support Portal. Sie können hier hier die Version ihres Business Clients überprüfen:

Nach der Installation können Sie mit dem folgenden Ansatz feststellen, ob das Add-on auf dem Clientcomputer installiert ist.

1 – Am einfachsten ist es, einfach den SAP Business Client zu öffnen -> Einstellungen -> Browser -> Überprüfen Sie im Dropdown-Menü „Primäre Browsersteuerung“, ob „Chromium“ verfügbar ist. Wenn ja, ist das Chromium-Add-on installiert.

2- Sehen Sie sich die Installationsprotokolldatei „NWSAPSetup.log“ an, die sich unter C:\Programme (x86)\SAP\SapSetup\LOGs befindet

NwSapsAtlC 1 SAP Business Client 7.70 (Version 8942) (GUID {AEC84400-1F49-4054-90A6-1F41F30A06A9}) –> Installiert — Update verfügbar! —
NwSapsAtlC 1 |—–Business Client 7.70 –> Installiert — Update verfügbar! —
NwSapsAtlC 1 |—–Chromium für SAP Business Client 7.70 –> Installiert — Update verfügbar! —

Im obigen Szenario ist auch Chromium für SAP BC installiert.

HINWEIS: Im Gegensatz zum SAP GUI für Windows wird der SAP Business Client über die Datei NWBCOptions.xml weitergegeben. Es gibt keine Registrierungseinstellungen für die Chromium-Steuerung.

Am 10. Oktober 2023 wurden am SAP Security Patch Day sieben neue Sicherheitshinweise veröffentlicht. Darüber hinaus gab es zwei Aktualisierungen für zuvor veröffentlichte Sicherheitshinweise

  • SAP Note 3372991 | CVE-2023-42474 | Cross-Site Scripting (XSS) vulnerability in SAP BusinessObjects Web IntelligenceProduct-SAP BusinessObjects Web Intelligence, Versions–420
  • SAP Note 2622660 | Update to Security Note released on April 2018 Patch Day:Security updates for the browser control Google Chromium deliveredwith SAP Business ClientProduct-SAP Business Client, Versions -6.5, 7.0, 7.70
  • SAP Note 3357154 | CVE-2023-40310 | Missing XML Validation vulnerability in SAP PowerDesigner Client (BPMN2 import)Product–SAP PowerDesigner Client, Version –16.7
  • SAP Note 3333426 | CVE-2023-42477 | Server-Side Request Forgery in SAP NetWeaver AS Java (GRMG Heartbeat application)Product-SAP NetWeaver AS Java, Version –7.50
  • SAP Note 3219846 | CVE-2023-42473 | Missing Authorization Check In S/4HANA (Manage Withholding Tax Items)Product-S/4HANA (Manage Withholding Tax Items),Version –106
  • SAP Note 3371873 | CVE-2023-31405 | Log Injection vulnerability in SAP NetWeaver AS for Java (Log Viewer)Product-Product -SAP NetWeaver AS for Java (Log Viewer), Version -ENGINEAPI 7.50
  • SAP Note 3324732 | CVE-2023-31405 | Log Injection vulnerability in SAP NetWeaver AS for Java (Log Viewer)Product-SAP NetWeaver AS for Java (Log Viewer), Version -ENGINEAPI 7.50, SERVERCORE 7.50, J2EE-APPS 7.50
  • SAP Note 3338380 | CVE-2023-41365 | Information Disclosure vulnerability in SAP Business One (B1i)Product-SAP Business One (B1i), Version –10
  • SAP Note 3222121 | CVE-2023-42475 | Information Disclosure Vulnerability in Statutory ReportingProduct-SAP S/4HANA Core,Version –S4CORE 102, S4CORE 103, S4CORE 104, S4CORE 105,S4CORE 106, SAPSCORE 128

Es ist immer wichtig, stets wachsam zu bleiben und sicherzustellen, dass Ihr SAP-System auf dem neuesten Stand ist. Das frühzeitige und konsequente Anwenden von Sicherheitspatches schützt nicht nur Ihre Daten, sondern auch die Integrität Ihres gesamten Unternehmens.

Bleiben Sie sicher und halten Sie Ihr System auf dem neuesten Stand!

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Nach oben scrollen