SAP Security Patch Day April 2023

Im SAP Diagnostics Agent wurden Sicherheitslücken entdeckt, die auf praktisch allen SAP Servern installiert sind. Diese ermöglichen einem Angreifer die Ausführung von bösartigen Skripten, was die Vertraulichkeit und Integrität des Systems gefährdet. Die SAP empfiehlt das Einspielen des aktuellen Patches oder das Entfernen der betroffenen Komponenten. Genauere Informationen finden sich in der Security Note 3305369.

In der Business Objects Promotion Management besteht eine Schwachstelle, die es Angreifern mit grundlegenden Rechten ermöglicht, auf die lcmbiar-Datei zuzugreifen und somit an BI User und Passwörter zu gelangen. Dies kann zur vollständigen Übernahme der Applikation führen. Als Lösung wird die Installation eines entsprechenden Patches empfohlen, alternativ kann ein Passwortschutz auf die Datei angewendet werden. Details dazu finden sich in der Security Note 3298961.

Weitere HotNews-Hinweise betreffen Schwachstellen im SAP Business Client, SAP NetWeaver AS Java, SAP NetWeaver Application Server für ABAP und ABAP-Platform sowie SAP NetWeaver (BI CONT ADDON). Diese Schwachstellen haben unterschiedliche Auswirkungen auf die Systeme und erfordern entsprechende Maßnahmen wie das Einspielen von Patches oder das Deaktivieren bestimmter Funktionen.

Insgesamt wurden 24 neue und aktualisierte Sicherheitshinweise veröffentlicht, darunter fünf HotNews-Hinweise und ein Hinweis mit hoher Priorität. Besonders erwähnenswert ist die Zusammenarbeit mit den Onapsis Research Labs, die zur Behebung von insgesamt acht Schwachstellen beigetragen haben.

SAP-Kunden sollten die entsprechenden Sicherheitshinweise genau prüfen und die empfohlenen Maßnahmen umsetzen, um ihre Systeme vor potenziellen Angriffen zu schützen.

• 2023-04-11: Offizielle Übersicht Offizielle SAP Security Patch Day
• https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html
• 2023-04-11: ASUG SAP Patch Day Information Session (für Mitglieder)

• 2622660 Security updates for the browser control Google Chromium delivered with SAP Business Client
• 3269352 [CVE-2023-29189] HTTP Verb Tampering vulnerability in SAP CRM (WebClient UI)
• 3301457 [CVE-2023-1903] Missing Authorization check in SAP HCM Fiori App My Forms (Fiori 2.0)
• 3275458 [CVE-2023-27499] Cross-Site Scripting (XSS) vulnerability in SAP GUI for HTML
• 3305907 [CVE-2023-29186] Directory Traversal vulnerability in SAP NetWeaver ( BI CONT ADD ON)
• 3312733 [CVE-2023-26458] Information Disclosure vulnerability in SAP Landscape Management
• 3311624 [CVE-2023-29187] DLL Hijacking vulnerability in SapSetup (Software Installation Program)
• 3117978 [CVE-2023-29111] Information Disclosure vulnerability in SAP Application Interface Framework (ODATA service)
• 3113349 [CVE-2023-29110] Code Injection vulnerability in SAP Application Interface Framework (Message Dashboard)
• 3115598 [CVE-2023-29109] Code Injection vulnerability in SAP Application Interface Framework (Message Dashboard)
• 3114489 [CVE-2023-29112] Code Injection vulnerability in SAP Application Interface Framework (Message Monitoring)
• 3298961 [CVE-2023-28765] Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (Promotion Management )
• 3309056 [CVE-2023-27897] Code Injection vulnerability in SAP CRM
• 3316509 Remote Code Execution vulnerability in SAP Commerce
• 3289994 [CVE-2023-28761] Missing Authentication check in SAP NetWeaver Enterprise Portal
• 3303060 [CVE-2023-29185] Denial of Service (DOS) in SAP NetWeaver AS for ABAP (Business Server Pages)
• 3296378 [CVE-2023-28763] – Denial of Service in SAP NetWeaver AS for ABAP and ABAP Platform
• 3305369 [CVE-2023-27497] Multiple vulnerabilities in SAP Diagnostics Agent (OSCommand Bridge and EventLogServiceCollector)
• 3287784 [CVE-2023-24527] Improper Access Control in SAP NetWeaver AS Java for Deploy Service
• 3315312 [CVE-2023-29108] IP filter vulnerability in ABAP Platform and SAP Web Dispatcher
• 3294595 [CVE-2023-27269] Directory Traversal vulnerability in SAP NetWeaver AS for ABAP and ABAP Platform