SAP Security Patchday Februar 2024 | AS ABAP und AS JAVA + SAP Cloud Connector Update

Sicherheitsupdates für Chromium im SAP Business Client

Ein erneut veröffentlichtes Update behebt mehrere Schwachstellen in der Chromium-Engine, die im SAP Business Client verwendet wird. Dies stellt sicher, dass keine Sicherheitslücken durch veraltete Browser-Komponenten entstehen (Hinweis 2622660).

Schritte zur Behebung:

• Jeder neue SAP Business Client-Patch enthält die aktuellste stabile Hauptversion der Chromium-Browsersteuerung, die die SAP-internen Qualitätsmessungen des SAP Business Client bestanden hat. SAP empfiehlt, zusätzliche Sicherheitsvorkehrungen zu treffen, wie in der SAP Business Client Dokumentation beschrieben: SAP Business Client -> SAP Business Client Administrationsleitfaden -> Sicherheitsaspekte -> Sicherheitseinstellungen für Browser Controls -> Chromium.

XXE-Schwachstelle in SAP NetWeaver AS Java

Ein erneut veröffentlichtes Update behebt mehrere Schwachstellen in der Chromium-Engine, die im SAP Business Client verwendet wird. Dies stellt sicher, dass keine Sicherheitslücken durch veraltete Browser-Komponenten entstehen (Hinweis 2622660).

Code Injection vulnerability in SAP ABA (Application Basis)

Der Patch adressiert eine kritische Sicherheitslücke bei der Nutzung von OS-Level Zugriff auf NetWeaver-Systeme durch Benutzer mit umfassenden S_RFC-Berechtigungen. Diese Berechtigungen ermöglichen es Benutzern, aus jeder Anwendung heraus, die SAP-Bibliotheken nutzt (z.B. Microsoft Excel), potenziell schädliche Aktionen im SAP-System durchzuführen. Die identifizierte Code Injection-Schwachstelle in der CA-SUR („Web Survey“) Komponente der SAP-Basis von NetWeaver wurde mit einem CVSS-Score von 9.1/10 bewertet und wird durch den Patch so behandelt, dass die Komponente standardmäßig nicht mehr remote erreichbar ist. Nur durch zusätzliche Konfigurationsschritte kann diese Funktionalität wieder aktiviert werden. Dies soll das System sicherer machen, indem der Remote-Zugriff auf die Funktionsbausteine des CA-SUR-Pakets blockiert wird, es sei denn, es werden gezielte Anpassungen vorgenommen. Dieser Ansatz und die damit verbundenen Details finden sich im Sicherheitshinweis 3420923 – [CVE-2024-22131].

Implementieren Sie Support Package oder Korrekturanweisungen. Die Lösung implementiert eine „Secure-by-default“-Konfiguration. Daher müssen Sie die Konfiguration anpassen, wenn Sie die Remote-Fähigkeit der Komponente tatsächlich nutzen. Details und Empfehlungen zur Aktualisierung der Konfiguration finden Sie im zugehörigen Hinweis 3415038.

Abhilfe: Bitte prüfen Sie die Anwendbarkeit des Workarounds für Ihre SAP-Landschaft, bevor Sie ihn implementieren. Beachten Sie, dass es sich bei diesem Workaround um eine vorübergehende Lösung handelt und nicht um eine dauerhafte Lösung. SAP empfiehlt dringend, die im Sicherheitshinweis beschriebenen Korrekturen vorzunehmen, die anstelle des Workarounds oder nach der Implementierung des Workarounds durchgeführt werden können. Überprüfen Sie Ihre Einstellungen zum Berechtigungsobjekt S_RFC und lassen Sie keine Aufrufe von Funktionsbausteinen von CA-SUR aus der Ferne zu. Beachten Sie, dass dieser Workaround die Remote-Fähigkeit der Komponente deaktivieren würde.

Hier finden Sie die SAP Notes (sortiert nach dem CVSS-Rank)

• SAP Note 2622660  | Component BC-FES-BUS-DSK | Update to Security Note released on April 2018 Patch Day:  Security updates for the browser control Google Chromium delivered with SAP Business Client
• SAP Note 3420923 | Component CA-SUR | [CVE-2024-22131] Code Injection vulnerability in SAP ABA (Application Basis)
• SAP Note 3417627 | Component BC-JAS-SEC-UME | 3417627 – [CVE-2024-22126] Cross Site Scripting vulnerability in NetWeaver AS Java (User Admin Application)
• SAP Note 3426111 |  Component BC-GP | [CVE-2024-24743] XXE vulnerability in SAP NetWeaver AS Java (Guided Procedures)
• SAP Note 3410875 | Component CA-WUI-UI | [CVE-2024-22130] Cross-Site Scripting (XSS) vulnerability in SAP CRM (WebClient UI)
• SAP Note 3421659 | Component XX-IDES | [CVE-2024-22132] Code Injection vulnerability in SAP IDES Systems
• SAP Note 3424610 | Component BC-MID-SCC | [CVE-2024-25642] Improper Certificate Validation in SAP Cloud Connector
• SAP Note 3385711 | Component BC-FES-WGU | [CVE-2023-49580] Information disclosure vulnerability in SAP NetWeaver Application Server ABAP
• SAP Note 2637727 | Component FIN-FSCM-CLM | [CVE-2024-24739] Missing authorization check in SAP Bank Account Management
• SAP Note 3404025 | Component KM-SN-CMP | [CVE-2024-22129] Cross-Site Scripting (XSS) vulnerability in SAP Companion
• SAP Note 3360827  | Component BC-FES-ITS | [CVE-2024-24740] Information Disclosure vulnerability in SAP NetWeaver Application Server ABAP (SAP Kernel)
• SAP Note 3396109 | Component BC-FES-BUS |  [CVE-2024-22128] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Business Client for HTML
• SAP Note 3237638 | Component PA-FIO-OVT | [CVE-2024-25643] Missing authorization check in SAP Fiori app („My Overtime Requests“)
• SAP Note 2897391 | Component CA-MDG-APP-MM | [CVE-2024-24741] Missing Authorization check in SAP Master Data Governance Material
• SAP Note 3158455 | Component CA-WUI-WKB | [CVE-2024-24742] Cross-Site Scripting (XSS) vulnerability in SAP CRM (WebClient UI)
• SAP Note 3363690 | Component CA-MDG-ML |  [CVE-2023-49058] Directory Traversal vulnerability in SAP Master Data Governance

Bleiben Sie sicher und halten Sie Ihr System auf dem neuesten Stand!

Es ist immer wichtig, stets wachsam zu bleiben und sicherzustellen, dass Ihr SAP-System auf dem neuesten Stand ist. Das frühzeitige und konsequente Anwenden von Sicherheitspatches schützt nicht nur Ihre Daten, sondern auch die Konsistenz und Integrität Ihres gesamten Unternehmens.