SAP Security Patchday August 2024 | SAP BuildApp und SAP BO

SAP Note 3479478 Missing Authentication check in SAP BusinessObjects Business Intelligence Platform 

Die Sicherheitsnote 3479478, veröffentlicht am 13. August 2024, beschreibt eine kritische Schwachstelle in der SAP BusinessObjects Business Intelligence Platform, speziell bei der Verwendung von Single Sign-On im Enterprise-Authentifizierungsschema. Ein nicht autorisierter Benutzer könnte über ein REST-Endpunkt ein Anmelde-Token erhalten und das System vollständig kompromittieren. Dies hat hohe Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit des Systems. Die Konfiguration der Single Sign-On Enterprise-Authentifizierung ist nun standardmäßig sicher. Dieses Problem wurde in den Patches behoben, die im Abschnitt „Supportpakete & Patches“ aufgelistet sind. Für weitere Informationen zu Wartungsplänen und Strategien der Business Intelligence Platform verweisen wir auf den Knowledge Base-Artikel 2144559.

SAP Note 3477196 Server-Side Request Forgery vulnerability in applications built with SAP Build Apps 

Eine weitere HotNews, die Sicherheitsnote 3477196, betrifft die Anwendungen, die mit SAP Build Apps erstellt wurden. Aufgrund der Nutzung einer älteren Version der Node.js-Bibliothek sind diese Anwendungen anfällig für Server-Side Request Forgery (SSRF), was ein hohes Risiko für die Vertraulichkeit und Integrität darstellt, obwohl die Verfügbarkeit nicht beeinträchtigt wird. Die Lösung besteht darin, die Anwendung in SAP Build Apps mit der Version 4.11.130 oder später neu zu erstellen. Weitere Dokumentationen zur Verwendung von SAP Build Apps finden Sie in der entsprechenden Hilfe.

SAP Note 3485284 XML injection in SAP BEx Web Java Runtime Export Web Service 

Die Sicherheitsnote 3485284 adressiert eine XML-Injection-Schwachstelle im BEx Web Java Runtime Export Web Service, die nicht ausreichend ein XML-Dokument von einer nicht vertrauenswürdigen Quelle validiert. Angreifer könnten Informationen aus dem SAP ADS-System abrufen und die Anzahl der XMLForm-Dienste erschöpfen, was die Verfügbarkeit des SAP ADS Rendering (PDF-Erstellung) beeinträchtigt. Diese Schwachstelle betrifft sowohl die Vertraulichkeit als auch die Verfügbarkeit der Anwendung. Der XML-Parser wurde nun aktualisiert, um die Schwachstelle zu prüfen. Implementieren Sie die im Sicherheitshinweis referenzierten Supportpakete und Patches, um das Problem zu beheben.

Diese aktuellen Sicherheitsupdates unterstreichen die Bedeutung einer zeitnahen Patch-Implementierung, um die Sicherheit und Stabilität von SAP-Anwendungen zu gewährleisten. Wir raten allen SAP-Nutzern, die notwendigen Schritte einzuleiten und die Patches umgehend zu implementieren.

Hier finden Sie die SAP Notes (sortiert nach dem CVSS-Rank)

• 3479478 | 9.8 Hot News | [CVE-2024-41730] Missing Authentication check in SAP BusinessObjects Business Intelligence Platform
• Product - SAP BusinessObjects Business Intelligence Platform, Version – ENTERPRISE 430, 440
• 3477196 | 9.1 Hot News | [CVE-2024-29415] Server-Side Request Forgery vulnerability in applications built with SAP Build Apps
• Product - SAP Build Apps, Versions < 4.11.130
• 3485284 | 8.2 High | [CVE-2024-42374] XML injection in SAP BEx Web Java Runtime Export Web Service Product- SAP BEx Web Java Runtime Export Web Service, Versions – BI-BASE-E 7.5, BI-BASE-B 7.5, BI-IBC 7.5, BI-BASE-S 7.5, BIWEBAPP 7.5
• 3423268 | 7.8 High | [CVE-2023-30533] Prototype Pollution in SAP S/4 HANA (Manage Supply Protection) Product- SAP S/4 HANA, Library Versions – SheetJS CE < 0.19.3
• 3460407 | 7.5 High | Update to Security Note released on June 2024 Patch Day: [CVE-2024-34688] Denial of service (DOS) in SAP NetWeaver AS Java (Meta Model Repository) Product- SAP NetWeaver AS Java, Version – MMR_SERVER 7.5
• 3459935 | 7.4 High | [CVE-2024-33003] Information Disclosure Vulnerability in SAP Commerce Cloud Product- SAP Commerce Cloud, Versions – HY_COM 1808, 1811, 1905, 2005, 2105, 2011, 2205, COM_CLOUD 2211
• 3466801 | 6.9 Medium | Update to Security Note released on July 2024 Patch Day: [CVE-2024-39593] Information Disclosure vulnerability in SAP Landscape Management Product- SAP Landscape Management, Version – VCM 3.00
• 3495876 | 6.5 Medium | [Multiple CVEs] Multiple vulnerabilities in SAP Replication Server (FOSS) CVEs – CVE-2023-0215, CVE-2022-0778 , CVE-2023-0286 Product- SAP Replication Server, Versions – 16.0.3, 16.0.4
• 3459379 | 6.5 Medium | Update to Security Note released on June 2024 Patch Day: [CVE-2024-34683] Unrestricted file upload in SAP Document Builder (HTTP service) Product - SAP Document Builder, Versions – S4CORE 100, 101, S4FND 102, 103, 104, 105, 106, 107, 108, SAP_BS_FND 702, 731, 746, 747, 748
• 3474590 | 6.5 Medium | [CVE-2024-42376] Multiple Missing Authorization Check vulnerabilities in SAP Shared Service Framework
• Product- SAP Shared Service Framework, Versions – SAP_BS_FND 702, 731, 746, 747, 748
• 3438085 | 6.3 Medium | [CVE-2024-33005] Missing Authorization check in SAP NetWeaver Application Server (ABAP and Java), SAP Web Dispatcher and SAP Content Server Product- SAP NetWeaver Application Server (ABAP and Java), SAP Web Dispatcher and SAP Content Server, Versions – KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, WEBDISP 7.53, 7.77, 7.85, 7.22_EXT, 7.89, 7.54, 7.93, KERNEL 7.22, 7.53, 7.77, 7.85, 7.89, 7.54, 7.93
• 3482217 | 6.1 Medium | Update to Security Note released on July 2024 Patch Day: [CVE-2024-39594] Multiple Cross-Site Scripting (XSS) vulnerabilities in SAP Business Warehouse – Business Planning and Simulation Product- SAP Business Warehouse – Business Planning and Simulation, Versions – SAP_BW 700, 701, 702, 730, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, 758, SAP_BW_VIRTUAL_COMP 701
• 3465455 | 5.5 Medium | Update to Security Note released on June 2024 Patch Day: [CVE-2024-37176] Missing Authorization check in SAP BW/4HANA Transformation and DTP Product- SAP BW/4HANA Transformation and Data Transfer Process, Versions – DW4CORE 200, 300, 400, 796, SAP_BW 740, 750, 751, 752, 753, 754, 755, 756, 757, 758
• 3483256 | 5.4 Medium | [CVE-2024-41735] Cross-Site Scripting (XSS) vulnerability in SAP Commerce Backoffice Product – SAP Commerce Backoffice, Version – HY_COM 2205
• 3471450 | 5.3 Medium | [CVE-2024-41733] Information Disclosure Vulnerability in SAP Commerce Product – SAP Commerce, Versions – HY_COM 2205, COM_CLOUD 2211
• 3487537 | 5.0 Medium | [CVE-2024-41737] Server-Side Request Forgery (SSRF) in SAP CRM ABAP (Insights Management)
• Product – SAP CRM ABAP (Insights Management), Versions – BBPCRM 700, 701, 702, 712, 713, 714
• 3458789 | 5.0 Medium | Update to Security Note released on July 2024 Patch Day: [CVE-2024-34689] Server-Side Request Forgery in SAP Business Workflow (WebFlow Services)  Product- SAP Business Workflow (WebFlow Services), Versions – SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758
• 3468102 | 4.7 Medium | [CVE-2024-41732] Improper Access Control in SAP Netweaver Application Server ABAP
• Product – SAP NetWeaver Application Server ABAP, Versions – SAP_UI 754, 755, 756, 757, 758, SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 912
• 3150704 | 4.5 Medium | Update to Security Note released on January 2023 Patch Day: [CVE-2023-0023] Information Disclosure in SAP Bank Account Management (Manage Banks) Product – SAP Bank Account Management (Manage Banks), Versions – 800, 900
• 3433545 | 4.3 Medium | [CVE-2024-42375] Multiple Unrestricted File Upload vulnerabilities in SAP BusinessObjects Business Intelligence Platform
• Additional CVE – CVE-2024-28166, CVE-2024-41731 Product – SAP BusinessObjects Business Intelligence Platform, Versions – ENTERPRISE 420, 430, 440
• 3475427 | 4.3 Medium | [CVE-2024-41736] Information Disclosure vulnerability in SAP Permit to Work
• Product – SAP Permit to Work, Versions – UIS4HOP1 800, 900
• 3477423 | 4.3 Medium | [CVE-2024-39591] Missing Authorization check in SAP Document Builder
• Product – SAP Document Builder, Versions – S4FND 102, S4FND 103, S4FND 104, S4FND 105, S4FND 106, S4FND 107, S4FND 108, SAP_BS_FND 702, SAP_BS_FND 731, SAP_BS_FND 746, SAP_BS_FND 747, SAP_BS_FND 748
• 3479293 | 4.3 Medium | [CVE-2024-42373] Missing Authorization Check in SAP Student Life Cycle Management (SLcM)
• Product – SAP Student Life Cycle Management (SLcM), Versions – IS-PS-CA 617, 618, 802, 803, 804, 805, 806, 807, 808
• 3494349 | 4.3 Medium | [CVE-2024-41734] Missing Authorization check in SAP NetWeaver Application Server ABAP and ABAP Platform
• Product – SAP NetWeaver Application Server ABAP and ABAP Platform, Versions – SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 912
• 3454858 | 4.1 Medium | Update to Security Note released on July 2024 Patch Day: [CVE-2024-37180] Information Disclosure vulnerability in SAP NetWeaver Application Server for ABAP and ABAP Platform Product- SAP NetWeaver Application Server for ABAP and ABAP Platform, Versions – SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758

Bleiben Sie sicher und halten Sie Ihr System auf dem neuesten Stand!

Es ist immer wichtig, stets wachsam zu bleiben und sicherzustellen, dass Ihr SAP-System auf dem neuesten Stand ist. Das frühzeitige und konsequente Anwenden von Sicherheitspatches schützt nicht nur Ihre Daten, sondern auch die Konsistenz und Integrität Ihres gesamten Unternehmens.