Liebe Leserinnen und Leser,
Am 8. Oktober 2024 hat SAP auf ihrem Security Patch Day sechs neue Sicherheitsnotizen veröffentlicht und sieben bestehende aktualisiert, um auf Sicherheitslücken in verschiedenen SAP Produkten zu reagieren. Diese regelmäßigen Updates unterstreichen die Notwendigkeit für SAP Basis Administratoren, stets auf dem neuesten Stand der Sicherheitsmaßnahmen zu sein, um die SAP-Landschaft effektiv zu schützen. Die Patches zielen darauf ab, Schwachstellen zu beheben, die sowohl die Integrität als auch die Verfügbarkeit der Systeme beeinträchtigen können. In diesem Artikel werden wir die drei wichtigsten Sicherheitsnotizen analysieren und detaillierte Einblicke in die erforderlichen Maßnahmen geben, die für eine sichere Konfiguration notwendig sind.
SAP Note 3479478: [CVE-2024-41730] Missing Authentication Check in SAP BusinessObjects Business Intelligence Platform
Die SAP Note 3479478 adressiert eine kritische Schwachstelle in der SAP BusinessObjects Business Intelligence Platform. Wenn Single Sign-On auf der Enterprise-Authentifizierungsebene aktiviert ist, kann ein nicht autorisierter Benutzer ein Logon-Token über ein REST-Endpunkt erhalten, was das System vollständig kompromittieren könnte. Die Schwachstelle, bewertet mit einem CVSS-Score von 9.8, hat hohe Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Plattform. In der aktuellen Version dieser Note, v20, wurden die ‚Support Packages & Patches‘ Informationen aktualisiert und ein Fix in der Version 4.2 SP009 bereitgestellt. Für die Implementierung empfiehlt SAP, die Konfiguration der Enterprise-Authentifizierung sicher standardmäßig zu setzen und die korrigierten Patches zu implementieren, wie im Knowledge Base-Artikel 2144559 beschrieben.
SAP Note 3523541: [CVE-2022-23302] Multiple Vulnerabilities in SAP Enterprise Project Connection
Die SAP Note 3523541 behandelt multiple Schwachstellen in der SAP Enterprise Project Connection, die auf veralteten Versionen der Spring Framework- und Log4j-Bibliotheken basieren. Mit einem CVSS-Score von 8.0 weisen diese Schwachstellen ein hohes Risiko auf und könnten ohne entsprechende Patches zu ernsthaften Sicherheitsbedrohungen führen. Die Implementierung dieses Patches behebt die genannten CVEs durch ein Upgrade auf die relevanten Spring Framework- und Reload4j-Bibliotheken, wodurch die Sicherheit der betroffenen Systeme deutlich verbessert wird.
SAP Note 3478615: [CVE-2024-37179] Insecure File Operations Vulnerability in SAP BusinessObjects Business Intelligence Platform (Web Intelligence)
In der SAP Note 3478615 wird eine Sicherheitslücke in der SAP BusinessObjects Business Intelligence Platform behandelt, die es einem authentifizierten Benutzer ermöglicht, speziell gestaltete Anfragen an den Web Intelligence Reporting Server zu senden, um beliebige Dateien von der Maschine, auf der der Dienst gehostet wird, herunterzuladen. Diese Schwachstelle, mit einem CVSS-Score von 7.7 bewertet, betrifft die Vertraulichkeit der Anwendung erheblich. Als Lösung wird nach der Installation des Patches empfohlen, eine Datei PersonalFile_AllowList.txt im entsprechenden Konfigurationsordner zu erstellen, um den Zugriff auf persönliche Datenanbieter einzuschränken.
Die regelmäßige Überprüfung und Implementierung von SAP Security Patches ist entscheidend, um die Sicherheit und Integrität der SAP-Systeme zu gewährleisten. Durch das proaktive Management dieser Sicherheitsnotizen können SAP Basis Administratoren die Systeme vor potenziellen Bedrohungen schützen und die Compliance mit den neuesten Sicherheitsstandards sicherstellen.
Hier finden Sie die SAP Notes (sortiert nach dem CVSS-Rank) für ihr Vulnerability Management :
| SAP Note# | Title | Product and Versions | Priority | CVSS |
| 3479478 | Update to Security Note released on August 2024 Patch Day: [CVE-2024-41730] Missing Authentication check in SAP BusinessObjects Business Intelligence Platform | SAP BusinessObjects Business Intelligence Platform, Versions – ENTERPRISE 420, 430, 440 | Critical | 9.8 |
| 3523541 | [CVE-2022-23302] Multiple vulnerabilities in SAP Enterprise Project Connection Related CVEs – CVE-2024-22259, CVE-2024-38809, CVE-2024-38808 | SAP Enterprise Project Connection, Version – 3.0 | High | 8.0 |
| 3478615 | [CVE-2024-42378] Cross-Site S [CVE-2024-37179] Insecure File Operations vulnerability in SAP BusinessObjects Business Intelligence Platform (Web Intelligence) | SAP BusinessObjects Business Intelligence Platform (Web Intelligence), Version – ENTERPRISE 420, 430, 2025, ENTERPRISECLIENTTOOLS 420, 430, 2025 | High | 7.7 |
| 3483344 | Update to Security Note released on July 2024 Patch Day: [CVE-2024-39592] Missing Authorization check in SAP PDCE | SAP PDCE, Versions – S4CORE 102, 103, S4COREOP 104, 105, 106, 107, 108 | High | 7.7 |
| 3495876 | Update to Security Note released on August 2024 Patch Day: [Multiple CVEs] Multiple vulnerabilities in SAP Replication Server (FOSS) CVEs - CVE-2023-0215, CVE-2022-0778 , CVE-2023-0286 | SAP Replication Server, Versions – 16.0.3, 16.0.4 | Medium | 6.5 |
| 3477359 | [Update to Security Note released on September 2024 Patch Day [CVE-2024-45283] Information disclosure vulnerability in SAP NetWeaver AS for Java (Destination Service) | SAP NetWeaver AS for Java (Destination Service), Versions – 7.50 | Medium | 6.0 |
| 3507545 | [CVE-2024-45278] Cross-Site Scripting (XSS) vulnerability in SAP Commerce Backoffice | SAP Commerce Backoffice, Versions – HY_COM 2205, COM_CLOUD 2211 | Medium | 5.4 |
| 3503462 | [CVE-2024-47594] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Enterprise Portal (KMC) | SAP NetWeaver Enterprise Portal (KMC), Version – KMC-BC 7.5 | Medium | 5.4 |
| 3520100 | [CVE-2024-45277] Prototype Pollution vulnerability in SAP HANA Client | SAP HANA Client, Version – HDB_CLIENT 2.0 | Medium | 4.3 |
| 3251893 | [CVE-2024-45282] HTTP Verb Tampering in SAP S/4 HANA(Manage Bank Statements) | SAP S/4 HANA (Manage Bank Statements), Versions – S4CORE, 102, 103, 104, 105, 106, 107 | Medium | 4.3 |
| 3481588 | pdate to Security Note released on September 2024 Patch Day: [CVE-2024-41729] Information Disclosure vulnerability in the SAP NetWeaver BW (BEx Analyzer) | SAP NetWeaver BW (BEx Analyzer), Versions – DW4CORE 200, DW4CORE 300, DW4CORE 400, SAP_BW 700, SAP_BW 701, SAP_BW 702, SAP_BW 731, SAP_BW 740, SAP_BW 750, SAP_BW 751, SAP_BW 752, SAP_BW 753, SAP_BW 754, SAP_BW 755, SAP_BW 756, SAP_BW 757, SAP_BW 758 | Medium | 4.3 |
| 3479293 | Update to Security Note released on August 2024 Patch Day: [CVE-2024-42373] Missing Authorization Check in SAP Student Life Cycle Management (SLcM) | SAP Student Life Cycle Management (SLcM), Versions – IS-PS-CA 617, 618, 802, 803, 804, 805, 806, 807, 808 | Medium | 4.3 |
| 3454858 | Update to Security Note released on July 2024 Patch Day: [CVE-2024-37180] Information Disclosure vulnerability in SAP NetWeaver Application Server for ABAP and ABAP Platform | SAP NetWeaver Application Server for ABAP and ABAP Platform, Versions – SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758 | Medium | 4.1 |
Es ist immer wichtig, stets wachsam zu bleiben und sicherzustellen, dass Ihr SAP-System auf dem neuesten Stand ist. Das frühzeitige und konsequente Anwenden von Sicherheitspatches schützt nicht nur Ihre Daten, sondern auch die Konsistenz und Integrität Ihres gesamten Unternehmens.