SAP Security Patch Day März 2023

Kommentar verfassen / Von /

Guten Morgen, liebe SAP Kundinnen und Kunden! Herzlich willkommen zur speziellen Frühjahrsedition der SAP Security Patch Day März 2023.

SAP Security Patchday 2023-03 März
SAP Security Patchday

Der frühlingshafte Security Patch Day war diesmal eine Hochburg der „Hot News“. Gleich fünfmal klingelten unsere Alarmglocken, als die Patch-Besprechung begann.

Als Erstes auf der Liste steht unser SAP Business Objects Business Intelligence Platform (CMC), oder wie wir es liebevoll nennen, der „Trouble Maker“. Die unerwartete Party-Einladung durch eine Code-Injection-Schwachstelle, wegen einer laxen Benutzerberechtigungsprüfung, ermöglichte es jedem Unfug treibenden Störenfried, sich auf unsere Kosten auszutoben. SAP rät dringend, die aktuellsten Support Packages einzuspielen, um diesen ungebetenen Gast loszuwerden (SAP-Hinweis 3245526).

Dann riefen wir den SAP NetWeaver AS for Java auf den Plan, der sich als wahrer „Meister der Tarnung“ entpuppte. Fehlende Authentifizierungsprüfungen erlaubten es jedem Spion, sich in unseren Systemen einzunisten und ungehindert auf Dienste zuzugreifen, mit denen sie allerlei Unfug anstellen können. (Hinweis: 3252433).

Unser treuer SAP NetWeaver Application Server für ABAP und die ABAP-Plattform – unser „Dirigent“ – zeigte auch einige Schwachpunkte. Ein Angreifer konnte wie ein Dirigent, die Melodie ändern und dabei kritische Systemdateien überschreiben. Zum Glück ohne Leserechte, sonst hätten sie noch die Noten für das ganze Orchester ändern können (Hinweis: 3294595).

Unser SAP Business Objects (Adaptive Job Server), der „Schattenkrieger“, erlaubte Angreifern aufgrund falsch maskierter Parameter, ferngesteuerte Kommandos in Unix zu starten. So konnten die Angreifer den Server in einen Schatten seiner selbst verwandeln (Hinweis: 3283438).

Der „Doppelagent“, unser SAP Solution Manager und verwaltete ABAP-Systeme (ST-PI), ermöglichte es einem Angreifer, der sich als gewöhnlicher Benutzer ausgibt, Aktionen auszuführen, für die er normalerweise nicht berechtigt wäre. Wie ein Doppelagent konnte er sensible Informationen lesen, ändern oder sogar den Zugriff auf das System blockieren (Hinweis: 3296476).

Zuletzt noch unser SAP Host Agent, unser „Sprengstoffexperte“. Er hatte eine Sicherheitslücke in SAPOSCOL, die es Angreifern erlaubte, mit einer gezielten Anfrage eine Speicherbeschädigung zu verursachen. Ein gefährlicher Zustand, der nur mit dem neuesten Patch-Level behoben werden kann (Hinweis: 3275727).

Jetzt, nachdem Sie diese abenteuerliche Zusammenfassung gehört haben, möchten Sie wahrscheinlich wissen, wie Sie diese Probleme beheben können. SAP bietet dazu Webinare zusammen mit ASUG und DSAG an, die Ihnen dabei helfen.

  • 3289844 [CVE-2023-25615] SQL Injection vulnerability in SAP ABAP Platform
  • 3245526 [CVE-2023-25616] Code Injection vulnerability in SAP Business Objects Business Intelligence Platform (CMC)
  • 3283438 [CVE-2023-25617] OS Command Execution vulnerability in SAP Business Objects Business Intelligence Platform (Adaptive Job Server)
  • 3302710 [CVE-2023-27895] Information Disclosure vulnerability in SAP Authenticator for Android
  • 3296328 [CVE-2023-27270] Denial of Service (DoS) in SAP NetWeaver AS for ABAP and ABAP Platform
  • 3294954 [CVE-2023-27501] Directory Traversal vulnerability in SAP NetWeaver AS for ABAP and ABAP Platform
  • 3252433 [CVE-2023-23857] Improper Access Control in SAP NetWeaver AS for Java
  • 3294595 [CVE-2023-27269] Directory Traversal vulnerability in SAP NetWeaver AS for ABAP and ABAP Platform
  • 3296346 [CVE-2023-26459] Multiple vulnerabilities in SAP NetWeaver AS for ABAP and ABAP Platform
  • 3281484 [CVE-2023-26457] Cross-Site Scripting (XSS) vulnerability in SAP Content Server
  • 3274920 [CVE-2023-0021] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver
  • 3302162 [CVE-2023-27500] Directory Traversal vulnerability in SAP NetWeaver AS for ABAP and ABAP Platform
  • 3284550 [CVE-2023-26461] XML External Entity (XXE) vulnerability in SAP NetWeaver (SAP Enterprise Portal)
  • 3296476 [CVE-2023-27893] Arbitrary Code Execution in SAP Solution Manager and ABAP managed systems (ST-PI)
  • 3275727 [CVE-2023-27498] Memory Corruption vulnerability in SAPOSCOL
  • 3287120 [Multiple CVEs] Multiple vulnerabilities in the SAP BusinessObjects Business Intelligence platform
  • 3288480 [CVE-2023-27268] Improper Access Control in SAP NetWeaver AS Java (Object Analyzing Service)
  • 3288096 [CVE-2023-26460] Improper Access Control in SAP NetWeaver AS Java (Cache Management Service)
  • 3288394 [CVE-2023-24526] Improper Access Control in SAP NetWeaver AS Java (Classload Service)
  • 3273480 [CVE-2022-41272] Improper access control in SAP NetWeaver AS Java (User Defined Search)
  • 3274585 [CVE-2023-25614] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver AS ABAP (BSP Framework)

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Nach oben scrollen