SAP Security Patchday Januar 2024 | SAP Business Application Studio, WebIDE und Integration Cell 

Kommentar verfassen / Von /

Liebe Leserinnen und Leser,

im Januar 2024 hat SAP auf seinem Security Patch Day wichtige Sicherheitsupdates veröffentlicht. Insgesamt wurden zehn neue Sicherheitsnotizen und zwei Updates zu früheren SAP Notes herausgegeben. Besondere Aufmerksamkeit erfordern die Schwachstellen in den BTP Security Services, die im Dezember entdeckt wurden.

SAP Security Note Patch Day 2023-09 November

Analyse von sap/approuter und sap/xssec

Ein zentrales Thema ist die im Dezember identifizierte Schwachstelle in den SAP BTP Security Services Integration Libraries, die durch die Sicherheitsnotiz 3411067 angesprochen wird. Diese Schwachstelle ermöglicht es nicht-authentifizierten Angreifern, ihre Rechte zu erhöhen. Betroffen sind Anwendungen, die in Node.js, Java, Python und Golang entwickelt wurden. Im Januar-Update wurden zusätzliche Details und ein FAQ zur Sicherheitsnotiz veröffentlicht. Eine ähnliche Schwachstelle, ebenfalls mit einem CVSS-Score von 9.1/10, betrifft Plattformen wie SAP Business Application Studio, SAP Web IDE Full-Stack und SAP Web IDE for SAP HANA. Die Lösung für beide Probleme beinhaltet die Aktualisierung der Abhängigkeiten zu @sap/approuter und @sap/xssec. Details dazu finden Sie in der Sicherheitsnotiz 3412456.

Schritte zur Behebung:

  • Stellen Sie sicher, dass Sie die node.js-Anwendungsabhängigkeiten mit den neuesten Versionen der Bibliotheken @sap/approuter und @sap/xssec aktualisieren.

Rechteausweitung SAP Edge Integration Cell

Unter bestimmten Bedingungen ermöglicht SAP Edge Integration Cell, das von Integrationsbibliotheken und Programmierinfrastrukturen von SAP BTP Security Services abhängt, eine Rechteausweitung aufgrund von CVE-2023-49583 und CVE-2023-50422. Nach erfolgreicher Ausnutzung kann ein nicht authentifizierter Angreifer beliebige Berechtigungen innerhalb der Anwendung erhalten.

In Version 8.9.13 von SAP Edge Integration Cell ist das Problem behoben. Um das Problem auch bei Ihnen zu beheben, aktualisieren Sie Ihre Edge-Integration-Cell-Lösung auf die neueste Version.

Detaillierte Anweisungen zum Upgrade Ihrer Lösung finden Sie in unserem Upgrade-Leitfaden.

Verfahren

  1. Öffnen Sie die Edge Lifecycle Management-Benutzeroberfläche.
  2. Gehen Sie zur Registerkarte Edge-Knoten.
  3. Wählen Sie den Edge-Knoten aus, auf dem Sie die Version aktualisieren möchten.
  4. Wählen Sie im Kontextmenü „Vorgänge“ die Lösung „Edge Integration Cell“ und dann „Upgrade“ aus
  5. Klicken Sie auf Upgrade. Die Lösung wird auf Basis der neuen Version aktualisiert.

Veröffentlichte Sicherheitshinweise von SAP

  • SAP Note 3413475 | [Multiple CVEs] Escalation of Privileges in SAP Edge Integration Cell
  • SAP Note 3412456 | [CVE-2023-49583] Escalation of Privileges in applications developed through SAP Business Application Studio, SAP Web IDE Full-Stack and SAP Web IDE for SAP HANA
  • SAP Note 3411067 | [Multiple CVEs] Escalation of Privileges in SAP Business Technology Platform (BTP) Security Services Integration Libraries
  • SAP Note 3411869 | [CVE-2024-21737] Code Injection vulnerability in SAP Application Interface Framework (File Adapter)
  • SAP Note 3389917 | [CVE-2023-44487] Denial of service (DOS) in SAP Web Dispatcher, SAP NetWeaver Application server ABAP, and ABAP Platform
  • SAP Note 3386378 | [CVE-2024-22125] Information Disclosure vulnerability in Microsoft Edge browser extension (SAP GUI connector for Microsoft Edge)
  • SAP Note 3407617 | [CVE-2024-21735] Improper Authorization check in SAP LT Replication Server
  • SAP Note 3260667 | [CVE-2024-21736] Missing Authorization check in SAP S/4HANA Finance (Advanced Payment Management)
  • SAP Note 3324732 | [CVE-2023-31405] Log Injection vulnerability in SAP NetWeaver AS for Java (Log Viewer)
  • SAP Note 3392626 | [CVE-2024-22124] Information Disclosure vulnerability in SAP NetWeaver Internet Communication Manager
  • SAP Note 3387737 | [CVE-2024-21738] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver ABAP Application Server and ABAP Platform
  • SAP Note 3190894 | [CVE-2024-21734] URL Redirection vulnerability in SAP Marketing (Contacts App)

Es ist immer wichtig, stets wachsam zu bleiben und sicherzustellen, dass Ihr SAP-System auf dem neuesten Stand ist. Das frühzeitige und konsequente Anwenden von Sicherheitspatches schützt nicht nur Ihre Daten, sondern auch die Konsistenz und Integrität Ihres gesamten Unternehmens.

Bleiben Sie sicher und halten Sie Ihr System auf dem neuesten Stand!

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Nach oben scrollen