NetWeaver

SAP Security Notes Patch Day Januar 2024 Dieser Artikel ist eine Zusammenfassung über die Inhalte und aktuellen Schwachstellen für SAP Systeme. SAP hat am 09.01.2024 neue Sicherheitshinweise und Aktualisierungen veröffentlicht. Insgesamt wurden zehn neue Sicherheitsnotizen und zwei Updates zu früheren SAP Notes herausgegeben.

Ein zentrales Thema ist die im Dezember identifizierte Schwachstelle in den SAP BTP Security Services Integration Libraries, die durch die Sicherheitsnotiz 3411067 angesprochen wird. Diese Schwachstelle ermöglicht es nicht-authentifizierten Angreifern, ihre Rechte zu erhöhen. Betroffen sind Anwendungen, die in Node.js, Java, Python und Golang entwickelt wurden. Im Januar-Update wurden zusätzliche Details und ein FAQ zur Sicherheitsnotiz veröffentlicht. Eine ähnliche Schwachstelle, ebenfalls mit einem CVSS-Score von 9.1/10, betrifft Plattformen wie SAP Business Application Studio, SAP Web IDE Full-Stack und SAP Web IDE for SAP HANA. Die Lösung für beide Probleme beinhaltet die Aktualisierung der Abhängigkeiten zu @sap/approuter und @sap/xssec. Details dazu finden Sie in der Sicherheitsnotiz 3412456.

Unter bestimmten Bedingungen ermöglicht SAP Edge Integration Cell, das von Integrationsbibliotheken und Programmierinfrastrukturen von SAP BTP Security Services abhängt, eine Rechteausweitung aufgrund von CVE-2023-49583 und CVE-2023-50422. Nach erfolgreicher Ausnutzung kann ein nicht authentifizierter Angreifer beliebige Berechtigungen innerhalb der Anwendung erhalten. In Version 8.9.13 von SAP Edge Integration Cell ist das Problem behoben. Um das Problem auch bei Ihnen zu beheben, aktualisieren Sie Ihre Edge-Integration-Cell-Lösung auf die neueste Version.