Liebe Leserinnen und Leser,
die SAP Security Umfeld kennt keine Sommerpause. BALTX.COM liefert eine kompakte Zusammenstellung und Analyse der wichtigsten Themen zum SAP Security Patch am 08.08.2023. Der SAP Security Architekt Frank Buchholz informierte heute wieder die ASUG Mitglieder über die aktuellen SAP Security Notes und Hot News. Der August-Patch-Tag bleibt in der Anzahl der neuen SAP Security Notes vergleichbar mit dem Vormonat. Es ist von entscheidender Bedeutung, die genaue Wortwahl einer Sicherheitsnotiz zu beachten, um schwerwiegende Nebenwirkungen zu vermeiden, und die Notwendigkeit einer fortlaufenden Überwachung und Aktualisierung von SAP-Systemen zu unterstreichen, um die Sicherheit aufrechtzuerhalten.
Der SAP Security Patch Day für August 2023 hat mehrere wichtige Updates in den SAP-Systemen enthüllt. Dieser Artikel prüft die Schwachstellen, gibt einen Überblick über die Schweregrade und bietet Ratschläge zur Bewältigung der identifizierten Probleme.
Die Sicherheitsupdates und Anmerkungen für SAP-Systeme wurden im August veröffentlicht, mit wichtigen Hinweisen für SAP PowerDesigner, SAP BusinessObjects, und SAP Business One. Ein kritisches Update vom 25. Juli betrifft eine OS Command Injection-Schwachstelle in IS-OIL, die nur dann ausgenutzt werden kann, wenn zwei spezifische Schalter aktiviert sind. Daher warnt das Update davor, IS-OIL oder verwandte Funktionen einfach zu aktivieren, um SAP Note #3350297 zu implementieren, da die meisten Schalter nicht umkehrbar sind und Schäden verursachen können. Neue und aktualisierte Notizen wurden veröffentlicht, einschließlich einer mit einem CVSS-Score von 9.8 für SAP PowerDesigner, die zwei Schwachstellen behandelt, und einer mit einem Score von 8.7, die zusätzliche Informationen im Korrekturanweisungsabschnitt enthält. Hochprioritätige Hinweise betreffen auch andere Produkte wie den SAP Message Server, SAP Commerce Cloud und SAP Business One. Die Sicherheitsanmerkungen beinhalten verschiedene Korrekturen für Schwachstellen wie Access Control, Information Disclosure, Code Injection, Binary Hijack und Cross-Site Scripting. Einige dieser Anmerkungen haben spezifische Bedingungen, unter denen sie ausgenutzt werden können, und SAP weist darauf hin, dass das Patching von einigen Anmerkungen, wie die des PowerDesigner Clients und Proxy, in der gleichen neuen Version erfolgen muss.
Insgesamt unterstreicht die Patch-Sammlung die Bedeutung einer sorgfältigen Aufmerksamkeit auf die genaue Wortwahl einer Security Note, um schwerwiegende Nebenwirkungen zu vermeiden, und betont die kontinuierliche Notwendigkeit, SAP-Systeme gegen eine Vielzahl von potenziellen Bedrohungen zu sichern.
Es wurden 20 neue Sicherheitshinweise (seit dem letzten Patchday im Juli) veröffentlicht.
- 3312586 [CVE-2023-39440] Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform | BI-RA-WBI | 4,4
- 3358300 [CVE-2023-39437] Cross-Site Scripting (XSS) vulnerability in SAP Business One | SBO-CRO-SEC | 7,6
- 3317710 [CVE-2023-37490] Binary hijack in SAP BusinessObjects Business Intelligence Suite (installer) | BI-BIP-INS | 7,6
- 3312047 Denial of Service (DoS) vulnerability due to the usage of vulnerable version of Commons FileUpload in SAP BusinessObjects Business Intelligence Platform (CMC) | BI-BIP-CMC | 7,5
- 3348000 [CVE-2023-37492] Missing Authorization check in SAP NetWeaver AS ABAP and ABAP Platform | BC-CCM-CNF-PFL | 4,9
- 3344295 [CVE-2023-37491] Improper Authorization check vulnerability in SAP Message Server | BC-CST-MS | 7,5
- 3341599 [CVE-2023-36923] Code Injection vulnerability in SAP PowerDesigner | BC-SYB-PD | 7,8
- 3341460 [CVE-2023-37483] Multiple Vulnerabilities in SAP PowerDesigner | BC-SYB-PD | 9,8
- 3358328 [CVE-2023-36926] Information disclosure vulnerability in SAP Host Agent | BC-CCM-HAG | 3,7
- 3350494 [CVE-2023-37488] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Process Integration | BC-XI-IBF-WU | 6,1
- 3333616 [CVE-2023-37487] Security Misconfiguration vulnerability in SAP Business One (Service Layer) | SBO-CRO-SEC | 5,3
- 3337797 [CVE-2023-33993] SQL Injection vulnerability in SAP Business One (B1 Layer) | SBO-CRO-SEC | 7,1
- 3341934 [CVE-2023-37486] Information Disclosure vulnerability in SAP Commerce (OCC API) | CEC-SCC-COM-BC-OCC | 5,9
- 3149794 Cross-Site Scripting (XSS) vulnerabilities in jQuery-UI library bundled with SAPUI5 | CA-UI5-COR | 6,1
- 3156972 URL Redirection vulnerability in SAP S/4HANA (Managed Catalogue Item and Catalogue search) | MM-FIO-PUR-REQ-SSP | 3,5
- 2067220 [CVE-2023-39436] Information Disclosure in SAP Supplier Relationship Management | SRM-EBP-ADM-XBP | 5,8
- 3346500 [CVE-2023-39439] Improper authentication in SAP Commerce Cloud | CEC-SCC-PLA-PL | 8,8
- 3350297 [CVE-2023-36922] OS command injection vulnerability in SAP ECC and SAP S/4HANA (IS-OIL) | IS-OIL-DS-HPM | 9,1
- 3331376 [CVE-2023-33989] Directory Traversal vulnerability in SAP NetWeaver (BI CONT ADD ON) | BW-BCT-GEN | 8,7
- 2032723 Switchable authorization checks for RFC in SRM | SRM-EBP-INT | 6,3
Hier finden Sie die Liste der SAP Security Researchers, die seit 2012 zur Lösung der SAP Sicherheitsprobleme beigetragen haben.