Liebe Leserinnen und Leser,
am 10. September 2024 wurden auf dem SAP Security Patch Day 16 neue Sicherheitshinweise veröffentlicht, sowie drei Aktualisierungen zu bereits veröffentlichten Sicherheitsnotizen. Dieser Beitrag informiert über die aktuellen Security Notes, die Schwachstellen in SAP Produkten beheben. SAP empfiehlt dringend, dass Kunden die Patches priorisiert implementieren, um ihre SAP-Landschaft zu schützen. Warum ist dies so wichtig? SAP Patches sind entscheidend für die Aufrechterhaltung der Sicherheit und Stabilität in Ihrer IT-Umgebung und erfordern eine strategische Herangehensweise für eine effektive Implementierung.
SAP Note 3479478: Fehlende Authentifikationsprüfung in SAP BusinessObjects Business Intelligence Platform
Die SAP Note 3479478 adressiert ein kritisches Sicherheitsproblem in der SAP BusinessObjects Business Intelligence Platform, das auftritt, wenn Single Sign-On auf der Enterprise-Authentifizierungsebene aktiviert ist. In solchen Fällen kann ein nicht autorisierter Benutzer ein Anmelde-Token über ein REST-Endpunkt erhalten und dadurch das System vollständig kompromittieren. Mit einem CVSS-Score von 9.8 und als Hot News klassifiziert, unterstreicht diese Sicherheitsnote die hohe Auswirkung auf die Vertraulichkeit, Integrität und Verfügbarkeit des Systems. Die sichere Standardkonfiguration der Single Sign-On Enterprise-Authentifizierung ist jetzt in den vorgeschlagenen Patches implementiert, die detailliert im „Support Packages & Patches“-Abschnitt der Note aufgelistet sind. Wartungspläne und Strategien für die Business Intelligence Platform können im Knowledge Base-Artikel 2144559 nachgeschlagen werden.
SAP Note 3459935: Informationsenthüllung in SAP Commerce Cloud
Ein weiteres bedeutendes Sicherheitsrisiko besteht in bestimmten OCC API-Endpoints der SAP Commerce Cloud, die in der SAP Note 3459935 behandelt werden. Diese Endpoints ermöglichen es, persönlich identifizierbare Informationen über unsichere URL-Parameter zu übertragen, was zu einer hohen Beeinträchtigung der Vertraulichkeit und Integrität der Anwendung führen kann. Mit einem CVSS-Score von 7.4 hat SAP auf dieses Problem reagiert, indem neue, sicherere API-Endpoints bereitgestellt wurden, die vertrauliche Daten nur über Anfragen im Body übertragen. Die älteren, anfälligen API-Endpoints wurden abgeschafft und die entsprechenden Korrekturen sind in der neuesten SAP Commerce Cloud Update Release 2211.28 enthalten, die auf der SAP Support-Plattform zum Download bereitsteht.
SAP Note 3495876: Mehrere Schwachstellen im SAP Replication Server
Die SAP Note 3495876 befasst sich mit mehreren Schwachstellen in den FOSS-Bibliotheken OpenSSL und Spring Framework, die im SAP Replication Server verwendet werden. Obwohl der SAP Replication Server selbst nicht direkt von den Schwachstellen betroffen ist, könnten diese anfälligen Bibliotheken das Installationsumfeld gefährden. Die betroffenen Bibliotheksversionen wurden in den neuesten Produktversionen des SAP Replication Server zu OpenSSL 1.1.1w und Spring Framework 5.3.31 aktualisiert, um die Sicherheit zu erhöhen. Diese Updates sind in SAP Replication Server 16.0 SP04 PL06 und SAP Replication Server 16.0 SP03 PL15 enthalten, und es wird empfohlen, dass Kunden, die ältere Versionen verwenden, auf diese aktualisierten Versionen umsteigen.
Es ist von größter Wichtigkeit, dass SAP Basis Administratoren regelmäßig die Veröffentlichungen von SAP Security Notes überprüfen und die erforderlichen Patches zeitnah implementieren. Durch ein proaktives Update-Management können signifikante Sicherheitsrisiken minimiert und die Integrität sowie Leistung der SAP-Systeme aufrechterhalten werden.
Hier finden Sie die SAP Notes (sortiert nach dem CVSS-Rank) für ihr Vulnerability Management :
| SAP Note# | Title | Product and Versions | Priority | CVSS |
| 3479478 | [CVE-2024-41730] Missing Authentication check in SAP BusinessObjects Business Intelligence Platform | SAP BusinessObjects Business Intelligence Platform, Versions – ENTERPRISE 430, 440 | Hot News | 9.8 |
| 3459935 | [CVE-2024-33003] Information Disclosure Vulnerability in SAP Commerce Cloud | SAP Commerce Cloud, Versions – HY_COM 1808, 1811, 1905, 2005, 2105, 2011, 2205, COM_CLOUD 2211 | High | 7.4 |
| 3495876 | [Multiple CVEs] Multiple vulnerabilities in SAP Replication Server (FOSS) | SAP Replication Server, Versions – 16.0.3, 16.0.4 | Medium | 6.5 |
| 3488341 | [CVE-2024-45286] Missing Authorization check in SAP Production and Revenue Accounting (Tobin interface) | SAP Production and Revenue Accounting (Tobin interface), Versions – S4CEXT 106, S4CEXT 107, S4CEXT 108, IS-PRA 605-618, 800-805 | Medium | 6.5 |
| 3497347 | [CVE-2024-42378] Cross-Site Scripting (XSS) in eProcurement on S/4HANA | SAP S/4HANA eProcurement, Versions – SAP_APPL 606, 617, 618, S4CORE 102-108 | Medium | 6.1 |
| 3501359 | [CVE-2024-45279] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Application Server for ABAP (CRM Blueprint) | SAP NetWeaver Application Server for ABAP (CRM Blueprint), Versions – 700-75I | Medium | 6.1 |
| 3477359 | [CVE-2024-45283] Information disclosure vulnerability in SAP NetWeaver AS for Java (Destination Service) | SAP NetWeaver AS for Java (Destination Service), Version – 7.50 | Medium | 6.0 |
| 3430336 | [CVE-2013-3587] Information Disclosure vulnerability in SAP Commerce Cloud | SAP Commerce Cloud, Version – COM_CLOUD 2211 | Medium | 5.9 |
| 3425287 | [CVE-2024-45281] DLL hijacking vulnerability in SAP BusinessObjects Business Intelligence Platform | SAP BusinessObjects Business Intelligence Platform, Version – 430 | Medium | 5.8 |
| 3488039 | [Multiple CVEs] Multiple vulnerabilities in SAP NetWeaver Application Server for ABAP and ABAP Platform | SAP NetWeaver Application Server for ABAP and ABAP Platform, Versions – 700-758, 912 | Medium | 5.4 |
| 3505503 | [CVE-2024-45280] Cross-Site Scripting (XSS) Vulnerability in SAP NetWeaver AS Java (Logon Application) | SAP NetWeaver AS Java (Logon Application), Version – 7.50 | Medium | 4.8 |
| 3498221 | [CVE-2024-44120] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Enterprise Portal | SAP NetWeaver Enterprise Portal, Version – 7.50 | Medium | 4.7 |
| 3481992 | [CVE-2024-44113] Information Disclosure vulnerability in the SAP Business Warehouse (BEx Analyzer) | SAP Business Warehouse (BEx Analyzer), Versions – DW4CORE 200-400, SAP_BW 700-758 | Medium | 4.3 |
| 3481588 | [CVE-2024-41729] Information Disclosure vulnerability in the SAP NetWeaver BW (BEx Analyzer) | SAP NetWeaver BW (BEx Analyzer), Versions – DW4CORE 200-400, SAP_BW 700-758 | Medium | 4.3 |
| 3437585 | [CVE-2024-44121] Information Disclosure in SAP S/4 HANA (Statutory Reports) | SAP S/4 HANA, Version – 900 | Medium | 4.3 |
| 3505293 | [CVE-2024-44112] Missing Authorization check in SAP for Oil & Gas (Transportation and Distribution) | SAP for Oil & Gas, Versions – 600-807 | Medium | 4.3 |
| 2256627 | [CVE-2024-45284] Missing authorization check in SAP Student Life Cycle Management (SLcM) | SAP Student Life Cycle Management (SLcM), Versions – 617-808 | Low | 2.7 |
| 3496410 | [CVE-2024-41728] Missing Authorization check in SAP NetWeaver Application Server for ABAP and ABAP Platform | SAP NetWeaver Application Server for ABAP and ABAP Platform, Versions – 700-758, 912 | Low | 2.7 |
| 3507252 | [CVE-2024-44114] Missing Authorization check in SAP NetWeaver Application Server for ABAP and ABAP Platform | SAP NetWeaver Application Server for ABAP and ABAP Platform, Versions – 702-758, 912 | Low | 2.0 |
Es ist immer wichtig, stets wachsam zu bleiben und sicherzustellen, dass Ihr SAP-System auf dem neuesten Stand ist. Das frühzeitige und konsequente Anwenden von Sicherheitspatches schützt nicht nur Ihre Daten, sondern auch die Konsistenz und Integrität Ihres gesamten Unternehmens.