SAP Security Patchday Juni 2024 | Korrektur für zwei riskante Lücken

Kommentar verfassen / Von /

Liebe Leserinnen und Leser,

Am Juni-Patchday hat SAP zehn neue Sicherheitsnotizen veröffentlicht, die verschiedene Sicherheitslücken in ihren Produkten adressieren. Besonders besorgniserregend sind zwei hochriskante Schwachstellen, die dringend behoben werden müssen. Ein kritisches Leck in SAP Financial Consolidation (CVE-2024-37177) ermöglicht es Angreifern, Daten aus unzuverlässigen Quellen in eine Webanwendung einzuschleusen, was signifikante Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung hat. Eine weitere schwerwiegende Schwachstelle in SAP NetWeaver AS Java (CVE-2024-34688) kann zu Denial-of-Service-Angriffen führen, wodurch legitime Nutzer den Zugang zum System verlieren. Neben diesen Hochrisikolücken wurden auch mittlere und niedrigere Risiken in verschiedenen anderen SAP-Produkten identifiziert und behoben. IT-Verantwortliche sollten die bereitgestellten Updates umgehend einspielen, um die Sicherheit ihrer Systeme zu gewährleisten und die Angriffsfläche zu minimieren.

SAP Security Note Patch Day 2024-04 April

SAP Note 3457592 Cross-Site Scripting (XSS)

Die SAP-Hinweis „3457592 – [CVE-2024-37177] Cross-Site Scripting (XSS) vulnerabilities in SAP Financial Consolidation“ für die Software-Komponente
EPM-BFC-TCL behandelt zwei Sicherheitslücken in SAP Financial Consolidation. Die erste Schwachstelle, Reflected XSS (CVE-2024-37177), ermöglicht es einem Angreifer, Daten über eine ungesicherte Quelle in die Webanwendung einzuspeisen und dadurch die Vertraulichkeit und Integrität der Anwendung erheblich zu gefährden. Die zweite Schwachstelle, Stored XSS (CVE-2024-37178), entsteht durch unzureichende Kodierung benutzergesteuerter Eingaben und kann die Vertraulichkeit der Anwendung beeinträchtigen. Die Lösung besteht darin, die URL-Parameter korrekt zu kodieren und die im SAP-Hinweis genannten Support-Pakete und Patches zu

SAP Note 3460407 Denial of Service (DoS) in SAP NetWeaver AS JAVA

Die SAP-Hinweis „3460407 – [CVE-2024-34688] Denial of service (DOS) in SAP NetWeaver AS Java (Meta Model Repository)“ beschreibt eine Sicherheitslücke, die durch unbeschränkten Zugriff auf die Meta Model Repository-Dienste in SAP NetWeaver AS Java entsteht. Angreifer können DoS-Angriffe durchführen, die die Verfügbarkeit der Anwendung stark beeinträchtigen, ohne jedoch die Vertraulichkeit und Integrität zu gefährden. Die Schwachstelle wird durch unautorisierten Zugriff auf das Meta Model Repository verursacht. Die Lösung besteht darin, die im Hinweis genannten Support-Pakete und Patches zu implementieren, um die Anwendung sicher zu konfigurieren und unautorisierten Zugriff zu verhindern.

SAP Note 3453170 Denial of Service (DoS) in SAP NetWeaver AS ABAP

Die SAP-Hinweis „3453170 – [CVE-2024-33001] Denial of service (DOS) in SAP NetWeaver and ABAP platform“ beschreibt eine Sicherheitslücke, die es einem Angreifer ermöglicht, die Leistung für legitime Nutzer zu beeinträchtigen, indem er den Dienst abstürzt oder überlastet. Dies kann zu langen Antwortzeiten und Dienstunterbrechungen führen, was die Verfügbarkeit der Anwendung stark beeinträchtigt. Die Schwachstelle kann nur ausgenutzt werden, wenn Autorisierungsprüfungen für Remote Function Calls deaktiviert sind oder ein Benutzer die Berechtigung für die Remote-Ausführung der Funktion hat. Die Lösung besteht darin, die Funktion nur noch intern auszuführen und Remote-Aufrufe zu verhindern. Als zusätzliche Einschränkung wird der Aufruf abgebrochen, wenn der Importparameter TIMES > 250000 ist.

Hier finden Sie die SAP Notes (sortiert nach dem CVSS-Rank)

  • SAP Note 3457592 | High 8.1 | [CVE-2024-37177] Cross-Site Scripting (XSS) vulnerabilities in SAP Financial Consolidation
  • Product – SAP Financial Consolidation, Version – FINANCE 1010
  • SAP Note 3460407 | High 7.5 | [CVE-2024-34688] Denial of service (DOS) in SAP NetWeaver AS Java (Meta Model Repository)
  • Product – SAP NetWeaver AS Java, Version – MMR_SERVER 7.5
  • SAP Note 3453170 | Medium 6.5 | [CVE-2024-33001] Denial of service (DOS) in SAP NetWeaver and ABAP platform Product- SAP NetWeaver and ABAP platform, Versions – ST-PI 2008_1_700, 2008_1_710, 740
  • SAP Note 3459379 | Medium 6.5 | [CVE-2024-34683] Unrestricted file upload in SAP Document Builder (HTTP service) Product- SAP Document Builder, Versions – S4CORE 100, 101, S4FND 102, 103, 104, 105, 106, 107, 108, SAP_BS_FND 702, 731, 746, 747, 748
  • SAP Note 3466175 | Medium 6.5 | [CVE-2024-34691] Missing Authorization check in SAP S/4HANA (Manage Incoming Payment Files) Product- SAP S/4HANA (Manage Incoming Payment Files), Versions – S4CORE 102, 103, 104, 105, 106, 107, 108
  • SAP Note 3465129 | Medium 6.1 | [CVE-2024-34686] Cross-Site Scripting (XSS) vulnerability in SAP CRM (WebClient UI) Product- SAP CRM WebClient UI, Versions – S4FND 102, 103, 104, 105, 106, 107, WEBCUIF 700, 701, 730, 731, 746, 747, 748, 800, 801
  • SAP Note 3450286 | Medium 6.1 | Update to Security Note released on May 2024 Patch Day: [CVE-2024-32733] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Application Server ABAP and ABAP Platform. Product- SAP NetWeaver Application Server ABAP and ABAP Platform, Versions – SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 795, SAP_BASIS 796
  • SAP Note 3465455 | Medium 5.5 | [CVE-2024-37176] Missing Authorization check in SAP BW/4HANA Transformation and DTP Product- SAP BW/4HANA Transformation and Data Transfer Process, Versions – DW4CORE 200, 300, 400, 796, SAP_BW 740, 750, 751, 752, 753, 754, 755, 756, 757, 758
  • SAP Note 3457265 | Medium 5.4 | [CVE-2024-34690] Missing Authorization check in SAP Student Life Cycle Management (SLcM)Product- SAP Student Life Cycle Management, Versions – IS-PS-CA 617, 618, 802, 803, 804, 805, 806, 807, 808
  • SAP Note 3425571 | Medium 5.3 | [CVE-2024-28164] Information Disclosure vulnerability in SAP NetWeaver AS Java (Guided Procedures)
  • Product– SAP NetWeaver AS Java, Version – GP-CORE 7.5
  • SAP Note 2638217 | Low 3.9 | Update to Security Note released on June 2018 Patch Day: Switchable Authorization Checks in Central Finance Infrastructure Components Product – Central Finance Infrastructure Components, Versions – SAP_FIN 720, 730, SAPSCORE 114, S4CORE 100, 101, 102
  • SAP Note 3441817 | Low 3.7 | [CVE-2024-34684] Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (Scheduling) Product SAP BusinessObjects Business Intelligence Platform, Versions – ENTERPRISE 420, 430, 440
  • SAP Note 3392049 | Low 3.5 | Update to Security Note released on May 2024 Patch Day: [CVE-2024-33000] Missing Authorization check in SAP Bank Account Management Product– SAP Bank Account Management, Versions – 100, 101, 102, 103, 104, 105, 106, 107, 108

Bleiben Sie sicher und halten Sie Ihr System auf dem neuesten Stand!

Es ist immer wichtig, stets wachsam zu bleiben und sicherzustellen, dass Ihr SAP-System auf dem neuesten Stand ist. Das frühzeitige und konsequente Anwenden von Sicherheitspatches schützt nicht nur Ihre Daten, sondern auch die Konsistenz und Integrität Ihres gesamten Unternehmens.

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Nach oben scrollen