SAP

Der DSAG Jahreskongress 2024 in Leipzig beleuchtet die digitale Transformation und zeigt, wie SAP, Partner und Kunden gemeinsam die Einführung von Cloud ERP-Systemen wie SAP RISE vorantreiben. Zentrale Themen sind die Zusammenarbeit, die Integration neuer Technologien wie der SAP Business Technology Platform (BTP) und die Bedeutung von Sicherheitslösungen wie den SAP Security Notes. Die Transformation ist nicht nur technologisch, sondern betrifft auch die Geschäftsstrategien der Unternehmen, um neue Geschäftsmodelle zu ermöglichen. Der Schlüssel zum Erfolg liegt in der intelligenten Nutzung von Cloud-Lösungen und der Zusammenarbeit aller Beteiligten.

SAP Security Notes Patch Day Oktober 2024 Dieser Artikel ist eine Zusammenfassung über die Inhalte und aktuellen Schwachstellen für SAP Systeme. Am 8. Oktober 2024 veröffentlichte SAP auf ihrem Security Patch Day wichtige Updates, darunter sechs neue und sieben aktualisierte Sicherheitsnotizen, um Schwachstellen in verschiedenen Produkten wie SAP BusinessObjects und SAP Enterprise Project Connection zu adressieren. Die Sicherheitsnotizen umfassen kritische Sicherheitslücken, die ohne entsprechende Patches die Vertraulichkeit, Integrität und Verfügbarkeit der SAP-Systeme gefährden können, mit spezifischen Maßnahmen und Patches, die zur Behebung dieser Schwachstellen empfohlen werden. SAP Basis Administratoren werden dringend dazu angehalten, diese Patches zu implementieren, um die Sicherheit und Compliance ihrer Systeme sicherzustellen.

SAP Security Notes Patch Day September 2024 Dieser Artikel ist eine Zusammenfassung über die Inhalte und aktuellen Schwachstellen für SAP Systeme. Im September 2024 veröffentlichte SAP auf ihrem Security Patch Day 16 neue Sicherheitsnotizen und aktualisierte drei bestehende, um kritische Schwachstellen in verschiedenen Produkten wie SAP BusinessObjects, SAP Commerce Cloud und SAP Replication Server zu adressieren. Diese Updates, klassifiziert als Hot News bis Medium mit CVSS-Scores bis zu 9.8, zielen darauf ab, die Vertraulichkeit, Integrität und Verfügbarkeit der SAP-Landschaft zu schützen. SAP empfiehlt dringend, diese Patches prioritär zu implementieren, um die fortlaufende Sicherheit und Stabilität der Systeme zu gewährleisten.

SAP Security Notes Patch Day Juni 2024 Dieser Artikel ist eine Zusammenfassung über die Inhalte und aktuellen Schwachstellen für SAP Systeme. Am Juni-Patchday warnt SAP vor zehn neuen Sicherheitslücken, darunter zwei hochriskante Schwachstellen. Ein kritisches Leck in SAP Financial Consolidation (CVE-2024-37177) gefährdet die Vertraulichkeit und Integrität der Anwendung, während eine Schwachstelle in SAP NetWeaver AS Java (CVE-2024-34688) Denial-of-Service-Angriffe ermöglicht. Weitere mittlere und niedrige Risiken wurden in verschiedenen SAP-Produkten identifiziert und behoben. IT-Verantwortliche sollten die bereitgestellten Updates zeitnah einspielen, um die Sicherheit ihrer Systeme zu gewährleisten.

SAP Security Notes Patch Day Juni 2024 Dieser Artikel ist eine Zusammenfassung über die Inhalte und aktuellen Schwachstellen für SAP Systeme. Am Juni-Patchday warnt SAP vor zehn neuen Sicherheitslücken, darunter zwei hochriskante Schwachstellen. Ein kritisches Leck in SAP Financial Consolidation (CVE-2024-37177) gefährdet die Vertraulichkeit und Integrität der Anwendung, während eine Schwachstelle in SAP NetWeaver AS Java (CVE-2024-34688) Denial-of-Service-Angriffe ermöglicht. Weitere mittlere und niedrige Risiken wurden in verschiedenen SAP-Produkten identifiziert und behoben. IT-Verantwortliche sollten die bereitgestellten Updates zeitnah einspielen, um die Sicherheit ihrer Systeme zu gewährleisten.

SAP Security Notes Patch Day Juni 2024 Dieser Artikel ist eine Zusammenfassung über die Inhalte und aktuellen Schwachstellen für SAP Systeme. Am Juni-Patchday warnt SAP vor zehn neuen Sicherheitslücken, darunter zwei hochriskante Schwachstellen. Ein kritisches Leck in SAP Financial Consolidation (CVE-2024-37177) gefährdet die Vertraulichkeit und Integrität der Anwendung, während eine Schwachstelle in SAP NetWeaver AS Java (CVE-2024-34688) Denial-of-Service-Angriffe ermöglicht. Weitere mittlere und niedrige Risiken wurden in verschiedenen SAP-Produkten identifiziert und behoben. IT-Verantwortliche sollten die bereitgestellten Updates zeitnah einspielen, um die Sicherheit ihrer Systeme zu gewährleisten.

SAP Security Notes Patch Day Juni 2024 Dieser Artikel ist eine Zusammenfassung über die Inhalte und aktuellen Schwachstellen für SAP Systeme. Am Juni-Patchday warnt SAP vor zehn neuen Sicherheitslücken, darunter zwei hochriskante Schwachstellen. Ein kritisches Leck in SAP Financial Consolidation (CVE-2024-37177) gefährdet die Vertraulichkeit und Integrität der Anwendung, während eine Schwachstelle in SAP NetWeaver AS Java (CVE-2024-34688) Denial-of-Service-Angriffe ermöglicht. Weitere mittlere und niedrige Risiken wurden in verschiedenen SAP-Produkten identifiziert und behoben. IT-Verantwortliche sollten die bereitgestellten Updates zeitnah einspielen, um die Sicherheit ihrer Systeme zu gewährleisten.

SAP Security Notes Patch Day Juni 2024 Dieser Artikel ist eine Zusammenfassung über die Inhalte und aktuellen Schwachstellen für SAP Systeme. Am Juni-Patchday warnt SAP vor zehn neuen Sicherheitslücken, darunter zwei hochriskante Schwachstellen. Ein kritisches Leck in SAP Financial Consolidation (CVE-2024-37177) gefährdet die Vertraulichkeit und Integrität der Anwendung, während eine Schwachstelle in SAP NetWeaver AS Java (CVE-2024-34688) Denial-of-Service-Angriffe ermöglicht. Weitere mittlere und niedrige Risiken wurden in verschiedenen SAP-Produkten identifiziert und behoben. IT-Verantwortliche sollten die bereitgestellten Updates zeitnah einspielen, um die Sicherheit ihrer Systeme zu gewährleisten.

Das Skript ist hilfreich für die automatisierte Überwachung der SAP-Systemverbindung und die Protokollierung von Verbindungsereignissen, was es ideal für Systemadministratoren macht, um die Verfügbarkeit und Integrität ihrer SAP-Systeme sicherzustellen. Das Bash-Skript überprüft die Verbindung zu einem MessageServer einer SAP-Systeminstanz. Hier ist eine Zusammenfassung seiner Funktionalitäten: Verbindungstest: Das Skript testet die nc-Verbindung zu einem MessageServer einer SAP-Systeminstanz. Es verwendet die Funktion check_connection, um die Verbindung zu überprüfen. Protokollierung: Das Skript protokolliert die Testergebnisse in zwei Dateien: connectiontest.txt enthält alle Testergebnisse, während connectiontest-failed.txt nur fehlgeschlagene Verbindungsversuche speichert. Benachrichtigung bei Verbindungsfehlern: Bei einem Verbindungsfehler sendet das Skript eine E-Mail-Benachrichtigung an die angegebene E-Mail-Adresse. Bereinigung alter Einträge: Das Skript löscht alte Zeitstempel aus der Protokolldatei connectiontest.txt nach 10 Tagen, um die Datei sauber zu halten und Speicherplatz zu sparen. Endlosschleife für wiederholte Tests: Das Skript enthält eine auskommentierte Endlosschleife, die den Verbindungstest in regelmäßigen Abständen ausführt. Diese Funktion kann aktiviert werden, um kontinuierlich die Verbindung zu überwachen. Es ist empfohlen einen cronjob zu erstellen. Beendigung von nc-Sitzungen: Nach Abschluss des Skripts beendet es alle laufenden nc-Sitzungen des aktuellen Benutzers.

Am 14. Mai 2024 veröffentlichte SAP 14 neue Sicherheitshinweise und aktualisierte 3 bereits bestehende Hinweise. Diese Hinweise behandeln Schwachstellen in verschiedenen SAP-Produkten, die dringend behoben werden sollten. Ein besonders kritischer Sicherheitshinweis betrifft SAP Customer Experience (CX) mit einem CVSS-Wert von 9,8. In CX Commerce wurden zwei Schwachstellen identifiziert. Die erste ist eine CSS Injection Schwachstelle, die es Angreifern ermöglicht, die Relative Path Overwrite (RPO)-Technik in CSS-basierten Eingabefeldern zu nutzen, was hohe Risiken für die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung darstellt. Die zweite Schwachstelle betrifft eine unsachgemäße Initialisierung in SAP CX Commerce, das Apache Calcite Avatica 1.18.0 verwendet. Diese Schwachstelle kann zur Remote Code Execution führen, da der JDBC-Treiber HTTP-Client-Instanzen basierend auf unüberprüften Klassennamen erstellt, was zur Ausführung von beliebigem Code führen kann. Die betroffene Version von CX Commerce verwendet Swagger UI vor Version 3.23.11 und Apache Calcite Avatica vor Version 1.22.0. Die einzige Test-Erweiterung, die Swagger UI 3.20.1 verwendet, wurde vollständig entfernt und Avatica-core wurde durch ein Update von Solr auf 8.11.3 auf Version 1.23.0 aktualisiert. Der Fix für beide Bibliotheken ist im neuesten Patch, SAP Commerce Cloud Patch Release 2205.24, verfügbar. Ein weiterer wichtiger Hinweis betrifft den SAP_BASIS NetWeaver Application Server ABAP mit einem CVSS-Wert von 9,6. Hier kann ein nicht authentifizierter Angreifer eine bösartige Datei hochladen, die bei Zugriff durch ein Opfer das System vollständig kompromittieren kann. Betroffen sind die Inhaltsrepositories „FILESYSTEM“ und „SOMU_DB“, die mit der Option „Keine Signatur“ konfiguriert sind. Die Korrektur implementiert eine sichere Standardkonfiguration. Diese Konfiguration gilt jedoch nur für Neuinstallationen. Nach einem Update müssen Administratoren die Änderungen manuell vornehmen. Es wird dringend empfohlen, die im Sicherheitshinweis beschriebenen Korrekturen anzuwenden. Ein weiterer Sicherheitshinweis betrifft die SAP Business Objects Business Intelligence Platform, die anfällig für Stored XSS (Cross-Site Scripting) ist. Diese Schwachstelle ermöglicht es Angreifern, Parameter in der Opendocument-URL zu manipulieren, was erhebliche Beeinträchtigungen der Vertraulichkeit und Integrität der Anwendung zur Folge haben kann. Die benutzerdefinierten Eingabeparameter in der Opendocument-URL wurden bereinigt. Es wird empfohlen, die genannten Support Packages und Patches zu implementieren.

Durch gezieltes Housekeeping der technischen Tabellen in SAP HANA kann eine signifikante Reduzierung der TCO erreicht werden. Dies ist besonders in einem hochverfügbaren Umfeld relevant, wo jede Sekunde Ausfallzeit und jedes Gigabyte an Speicherplatz hohe Kosten verursachen können. Systematische Bereinigungen und die Optimierung der Datenhaltung sind daher nicht nur technische, sondern vor allem wirtschaftliche Maßnahmen, die die Effizienz und Wirtschaftlichkeit der SAP HANA Landschaft maßgeblich verbessern können. Das beigefügte SQL Skript zeigt Ihnen das Potential auf und weist die jeweiligen technischen HANA Tabellen aus. Ausgehend von dem Ergebnis kann eine individuelle Housekeeping-Strategie erarbeitet werden.

HowTo: Wenn eine Spalte geladen wird, wird sie aus der Persistenz in den SAP HANA-Spaltenspeicher kopiert. Entladungen sind Tabellenspaltenverschiebungen aus dem Spaltenspeicher. In diesem SAP-Hinweis konzentrieren wir uns auf das Laden und Entladen von Spalten im Column Store. Tabellen im Zeilenspeicher werden normalerweise beim Start geladen und bleiben dauerhaft im Speicher. Hot Data: Wird zum Speichern sehr wichtiger Daten für eine schnelle und analytische Verarbeitung in Echtzeit verwendet, die üblicherweise im DRAM (dynamisches RAM) oder PMEM (Persistent Memory) gespeichert werden. Warm Data: Wird zum Speichern von Daten verwendet, die nicht häufig verwendet werden und nicht kontinuierlich im SAP HANA-Speicher verbleiben müssen. NSE verwaltet diese Daten als erweiterte Festplatte. Die Abfrageleistung für warme Daten kann im Vergleich zu heißen Daten geringer sein. Kalte Daten: Werden zum Speichern von Daten verwendet, auf die selten zugegriffen wird. SAP Native Storage Extension [NSE] – SAP HANA Native Storage Extension ist die integrierte Warmspeicherlösung von HANA. Standardmäßig sind in HANA 2.0 SP 04 und bei aktivierter SAP HANA CLOUD NSE keine weiteren Maßnahmen erforderlich, außer der Implementierung korrekter SQL/DDL-Deklarationen.

Das Skript ist hilfreich für die automatisierte Überwachung der SAP-Systemverbindung und die Protokollierung von Verbindungsereignissen, was es ideal für Systemadministratoren macht, um die Verfügbarkeit und Integrität ihrer SAP-Systeme sicherzustellen. Das Bash-Skript überprüft die Telnet-Verbindung zu einem MessageServer einer SAP-Systeminstanz. Hier ist eine Zusammenfassung seiner Funktionalitäten: Verbindungstest: Das Skript testet die Telnet-Verbindung zu einem MessageServer einer SAP-Systeminstanz. Es verwendet die Funktion check_connection, um die Verbindung zu überprüfen. Protokollierung: Das Skript protokolliert die Testergebnisse in zwei Dateien: connectiontest.txt enthält alle Testergebnisse, während connectiontest-failed.txt nur fehlgeschlagene Verbindungsversuche speichert. Benachrichtigung bei Verbindungsfehlern: Bei einem Verbindungsfehler sendet das Skript eine E-Mail-Benachrichtigung an die angegebene E-Mail-Adresse. Bereinigung alter Einträge: Das Skript löscht alte Zeitstempel aus der Protokolldatei connectiontest.txt nach 10 Tagen, um die Datei sauber zu halten und Speicherplatz zu sparen. Endlosschleife für wiederholte Tests: Das Skript enthält eine auskommentierte Endlosschleife, die den Verbindungstest in regelmäßigen Abständen ausführt. Diese Funktion kann aktiviert werden, um kontinuierlich die Verbindung zu überwachen. Es ist empfohlen einen cronjob zu erstellen. Beendigung von Telnet-Sitzungen: Nach Abschluss des Skripts beendet es alle laufenden Telnet-Sitzungen des aktuellen Benutzers.

SAP Security Notes Patch Day April 2024 Dieser Artikel ist eine Zusammenfassung über die Inhalte und aktuellen Schwachstellen für SAP Systeme. SAP hat am 09. April 2024 neue Sicherheitshinweise und Aktualisierungen veröffentlicht. Die Sicherheitslücke in der Useradministration für AS JAVA betrifft die Module „Self-Registration“ und „Modify your own profile“ der User Admin-App von NetWeaver AS Java. Diese sind ohne den entsprechenden Patch angreifbar, da es bisher keine besonderen Sicherheitsanforderungen an den Inhalt der Sicherheitsfragen gibt – also den Antworten, die Benutzer selbst konfigurieren können. Die Schwachstelle wird mit einem hohen Einfluss auf die Vertraulichkeit und einem CVSS-Score von 8.8 bewertet. Nach dem Patch werden die Sicherheitsantworten wie Passwörter behandelt und mindestens gehasht, wobei Groß-/Kleinschreibung nicht berücksichtigt wird. Als temporärer Workaround kann die Deaktivierung der „Self-Registration“ und „Modify your own profile“-Funktionen dienen, sofern diese überhaupt aktiviert waren. Weitere Details finden sich in der Security Note 3434839 – [CVE-2024-27899] zur Fehlkonfiguration der Sicherheit in der SAP NetWeaver AS Java User Management Engine.

SAP Security Notes Patch Day März 2024 Dieser Artikel ist eine Zusammenfassung über die Inhalte und aktuellen Schwachstellen für SAP Systeme. SAP hat am 12.03.2024 neue Sicherheitshinweise und Aktualisierungen veröffentlicht. wie ein Uhrwerk, pünktlich am zweiten Dienstag des Monats, rollte SAP am 12. März 2024 seinen Security Patchday aus. Dieses Mal wurden zehn neue Sicherheitshinweise veröffentlicht, inklusive zwei Updates zu vorherigen Patchdays, die das kontinuierliche Engagement von SAP für die Sicherheit seiner Systeme und Anwendungen unterstreichen. Besonders brisant: Unter den Updates befinden sich drei „Hot News“-Hinweise, die Sicherheitslücken mit einem Risiko-Score (CVSS) von über 9.0 betreffen. In diesem Artikel werden wir tiefer in die Details dieser Hinweise eintauchen, die Implikationen für SAP Build Apps und die Verantwortlichkeiten der AS Java Administratoren beleuchten. Wir diskutieren auch, welche Maßnahmen Unternehmen ergreifen sollten, um sich gegen diese und zukünftige Schwachstellen zu schützen. Eine neu identifizierte Schwachstelle im SAP NetWeaver AS Java, speziell im Administrator Log Viewer Plug-in, kennzeichnet durch die CVE-2024-22127, stellt eine erhebliche Bedrohung dar. Diese Schwachstelle ermöglicht es einem Angreifer mit hohen Privilegien, potenziell gefährliche Dateien hochzuladen, was zu einer Command Injection führen kann. Die Auswirkungen dieser Sicherheitslücke sind gravierend, da sie die Vertraulichkeit, Integrität und Verfügbarkeit der betroffenen Anwendungen hochgradig beeinträchtigen kann. Dieser Artikel wird nicht nur die technischen Details dieser spezifischen Bedrohung erörtern, sondern auch die notwendigen Schritte zur Absicherung Ihres Systems beleuchten, einschließlich der Anwendung der von SAP bereitgestellten Sicherheitsnote und der Konfiguration von Virenscan-Profilen als zusätzliche Sicherheitsmaßnahme.

SAP Security Notes Patch Day Februar 2024 Dieser Artikel ist eine Zusammenfassung über die Inhalte und aktuellen Schwachstellen für SAP Systeme. SAP hat am 13.02.2024 neue Sicherheitshinweise und Aktualisierungen veröffentlicht. Insgesamt wurden 13 neue Sicherheitsnotizen und drei Updates zu früheren SAP Notes herausgegeben. Aufgrund der unsachgemäßen Validierung des Zertifikats in SAP Cloud Connector kann sich ein Angreifer als echter Server ausgeben, um mit SCC zu interagieren und die gegenseitige Authentifizierung zu umgehen. Daher kann der Angreifer die Anfrage abfangen, um sensible Informationen anzuzeigen/zu ändern. Grund und Voraussetzungen Diese Schwachstelle ist eine Regression in Cloud Connector 2.15.0 bis 2.16.1 Lösung Die Korrektur fügt die erforderliche Prüfung erneut hinzu. Der Fix ist ab SAP Cloud Connector 2.16.2 verfügbar. Sie können die korrigierte Version von https://tools.hana.ondemand.com/#cloud herunterladen. Aktualisieren Sie Ihre bestehende Cloud Connector-Installation mit dieser heruntergeladenen Version gemäß der Beschreibung auf https://help.sap.com/docs/connectivity/sap-btp-connectivity-cf/upgrade. Weitere Informationen zu Korrekturen und neuen Funktionen finden Sie unter https://help.sap.com/whats-new/cf0cb2cb149647329b5d02aa96303f56?Component=Connectivity.

Im Zuge der digitalen Transformation und der zunehmenden Bedeutung von Cybersicherheit stellen SAP Enterprise Threat Detection (ETD) und die EU-Sicherheitsrichtlinie NIS2 wesentliche Komponenten im Sicherheitsmanagement von Unternehmen dar. SAP ETD bietet fortschrittliche Überwachungs- und Analysefunktionen zur Erkennung und Abwehr von Cyber-Bedrohungen in Echtzeit, während NIS2 strengere Sicherheitsanforderungen und Berichtspflichten für eine breite Palette von Organisationen in der EU einführt. Im Jahr 2024 spielt SAP ETD eine zentrale Rolle bei der Sicherung von Unternehmensdaten und -systemen, mit neuen Funktionen und Integrationen, insbesondere in Cloud-Umgebungen. Die Möglichkeit für SAP-Partner, Sicherheitsüberwachung als Managed Service anzubieten, erweitert die Reichweite und Effektivität von SAP ETD. Zugleich erhöht die Integration mit SAP SuccessFactors und anderen Cloud-Lösungen die Transparenz und den Schutz sensibler Daten. Herausforderungen bei der Integration von SAP NetWeaver AS ABAP-Systemen mit SAP ETD 2.0 SP06 umfassen Probleme wie das Überlaufen von Datenbanktabellen, die verzögerte Übertragung von Logs und Inkonsistenzen bei der Datenerfassung. Diese Herausforderungen unterstreichen die Notwendigkeit einer sorgfältigen Implementierung und Konfiguration von SAP ETD, um eine nahtlose und effektive Sicherheitsüberwachung zu gewährleisten.

Neues OpenAI GPT Tool mit SAP Datenbank-Fokus: Der SAP HANA DevOps Co-Pilot wurde trainiert, um die Entwicklung, den Betrieb und die Verwaltung von SAP HANA zu vereinfachen. Dank des SAP HANA DevOps Co-Pilot können Unternehmen die Performance der SAP HANA Datenbank signifikant verbessern, was zu schnelleren Berichterstattungen und einer effizienteren Entscheidungsfindung führte. Der gesamte Prozess wird durch die Automatisierung und die Expertise des Co-Pilots effizient und risikoarm. Um den SAP HANA DevOps Co-Pilot selbst zu testen ist lediglich ein OpenAI Account erforderlich. Dieser Artikel zeigt unterschiedliche Themengebiete der Datenbank-Administration und liefert fünf Beispiele wie der SAP HANA DevOps Co-Pilot helfen kann: Administration der SAP HANA Datenbank: Integration von LDAP in SAP HANA mit dem DevOps Co-Pilot. Entwicklung auf der SAP HANA Platform: Die Erstellung einer „Hello World“ XSA-Anwendung in SAP HANA . Performance Optimierung SAP HANA SQL: Optimierung der SQL-Performance durch Partitionierung in SAP HANA. Integration auf der SAP HANA Platform: Einrichtung einer Remote Source und Anlegen virtueller Tabellen mit SAP HANA Smart Data Access (SDA). Machine Learning auf der SAP HANA Platform: Optimierung von Sicherungsbestand und optimaler Bestellmenge mit SAP HANA und Machine Learning.

SAP Security Notes Patch Day Januar 2024 Dieser Artikel ist eine Zusammenfassung über die Inhalte und aktuellen Schwachstellen für SAP Systeme. SAP hat am 09.01.2024 neue Sicherheitshinweise und Aktualisierungen veröffentlicht. Insgesamt wurden zehn neue Sicherheitsnotizen und zwei Updates zu früheren SAP Notes herausgegeben. Ein zentrales Thema ist die im Dezember identifizierte Schwachstelle in den SAP BTP Security Services Integration Libraries, die durch die Sicherheitsnotiz 3411067 angesprochen wird. Diese Schwachstelle ermöglicht es nicht-authentifizierten Angreifern, ihre Rechte zu erhöhen. Betroffen sind Anwendungen, die in Node.js, Java, Python und Golang entwickelt wurden. Im Januar-Update wurden zusätzliche Details und ein FAQ zur Sicherheitsnotiz veröffentlicht. Eine ähnliche Schwachstelle, ebenfalls mit einem CVSS-Score von 9.1/10, betrifft Plattformen wie SAP Business Application Studio, SAP Web IDE Full-Stack und SAP Web IDE for SAP HANA. Die Lösung für beide Probleme beinhaltet die Aktualisierung der Abhängigkeiten zu @sap/approuter und @sap/xssec. Details dazu finden Sie in der Sicherheitsnotiz 3412456. Unter bestimmten Bedingungen ermöglicht SAP Edge Integration Cell, das von Integrationsbibliotheken und Programmierinfrastrukturen von SAP BTP Security Services abhängt, eine Rechteausweitung aufgrund von CVE-2023-49583 und CVE-2023-50422. Nach erfolgreicher Ausnutzung kann ein nicht authentifizierter Angreifer beliebige Berechtigungen innerhalb der Anwendung erhalten. In Version 8.9.13 von SAP Edge Integration Cell ist das Problem behoben. Um das Problem auch bei Ihnen zu beheben, aktualisieren Sie Ihre Edge-Integration-Cell-Lösung auf die neueste Version.

SAP Security Notes Patch Day Dezember 2023 Dieser Artikel ist eine Zusammenfassung über die Inhalte und aktuellen Schwachstellen für SAP Systeme. SAP hat am 12.12.2023 neue Sicherheitshinweise und Aktualisierungen veröffentlicht. SAP BTP Sicherheitslücke: Eine Schwachstelle in den SAP BTP Security Services Integration Libraries kann zu einer kritischen Eskalation von Privilegien führen. IS-OIL OS Command Injection:** Zwei der vier HotNews-Notizen sind Updates zu einer kritischen OS Command Injection-Schwachstelle in IS-OIL, gemeldet von Onapsis Research Labs. Die SAP Security Note #3350297, mit einem CVSS-Score von 9.1, wurde zunächst im Juli 2023 veröffentlicht und nun mit der neuen HotNews Note #3399691 aktualisiert. Beide Notizen betonen, dass die entsprechenden Patches nur dann angewendet werden dürfen, wenn IS-OIL aktiviert ist, um schwerwiegende Systeminkonsistenzen zu vermeiden. Update für SAP Business Client: Die regelmäßig wiederkehrende SAP Security Note #2622660 bietet ein Update für den SAP Business Client, einschließlich der neuesten unterstützten Chromium-Patches. Der SAP Business Client unterstützt nun die Chromium-Version 119.0.6045.159, die insgesamt vierundvierzig Schwachstellen behebt, darunter drei kritische und siebzehn mit hoher Priorität. Der höchste CVSS-Wert aller behobenen Schwachstellen im Kontext des SAP Business Client beträgt 8.8. SAP Fiori Launchpad: Die SAP Security Note #3406786 adressiert eine Client-Side Desynchronization-Schwachstelle im SAP Fiori Launchpad (CVSS-Score: 4.3). Ein authentifizierter Benutzer konnte den HTTP-Verb POST auf einen nur-lesen-Dienst verwenden, was sich geringfügig auf die Vertraulichkeit der Anwendung auswirkt. Die Lösung besteht darin, dass der Dienst nur noch GET-Anfragen akzeptiert und die Verbindung bei anderen HTTP-Verben schließt. SAP NetWeaver Application Server ABAP und ABAP Platform: Die SAP Security Note #3392547 behandelt eine SQL-Injection-Schwachstelle. Ein bösartiger Benutzer mit Entwickler- oder Datenbankadministrationsrechten könnte ein SQL-Injection durchführen, was zu nicht-sensitiven Datenbankmetadatenänderungen führen kann. Die Lösung besteht darin, eine korrekte Eingabekodierung zu implementieren, um die Eingabe gültiger SQL-Anweisungen zu verhindern