Directory Traversal

SAP Security Notes Patch Day April 2024 Dieser Artikel ist eine Zusammenfassung über die Inhalte und aktuellen Schwachstellen für SAP Systeme. SAP hat am 09. April 2024 neue Sicherheitshinweise und Aktualisierungen veröffentlicht.

Die Sicherheitslücke in der Useradministration für AS JAVA betrifft die Module „Self-Registration“ und „Modify your own profile“ der User Admin-App von NetWeaver AS Java. Diese sind ohne den entsprechenden Patch angreifbar, da es bisher keine besonderen Sicherheitsanforderungen an den Inhalt der Sicherheitsfragen gibt – also den Antworten, die Benutzer selbst konfigurieren können.

Die Schwachstelle wird mit einem hohen Einfluss auf die Vertraulichkeit und einem CVSS-Score von 8.8 bewertet. Nach dem Patch werden die Sicherheitsantworten wie Passwörter behandelt und mindestens gehasht, wobei Groß-/Kleinschreibung nicht berücksichtigt wird.

Als temporärer Workaround kann die Deaktivierung der „Self-Registration“ und „Modify your own profile“-Funktionen dienen, sofern diese überhaupt aktiviert waren. Weitere Details finden sich in der Security Note 3434839 – [CVE-2024-27899] zur Fehlkonfiguration der Sicherheit in der SAP NetWeaver AS Java User Management Engine.