{"id":1043,"date":"2024-06-11T21:16:11","date_gmt":"2024-06-11T18:16:11","guid":{"rendered":"https:\/\/techltx.com\/de\/?p=1043"},"modified":"2024-06-11T21:19:13","modified_gmt":"2024-06-11T18:19:13","slug":"sap-security-patchday-juni","status":"publish","type":"post","link":"https:\/\/techltx.com\/de\/sap\/sap-security-patchday-juni\/2024\/06\/","title":{"rendered":"SAP Security Patchday Juni 2024 | Korrektur f\u00fcr zwei riskante L\u00fccken"},"content":{"rendered":"\n
\n
\n

Liebe Leserinnen und Leser,<\/p>\n

Am Juni-Patchday hat SAP zehn neue Sicherheitsnotizen ver\u00f6ffentlicht, die verschiedene Sicherheitsl\u00fccken in ihren Produkten adressieren. Besonders besorgniserregend sind zwei hochriskante Schwachstellen, die dringend behoben werden m\u00fcssen. Ein kritisches Leck in SAP Financial Consolidation (CVE-2024-37177) erm\u00f6glicht es Angreifern, Daten aus unzuverl\u00e4ssigen Quellen in eine Webanwendung einzuschleusen, was signifikante Auswirkungen auf die Vertraulichkeit und Integrit\u00e4t der Anwendung hat. Eine weitere schwerwiegende Schwachstelle in SAP NetWeaver AS Java (CVE-2024-34688) kann zu Denial-of-Service-Angriffen f\u00fchren, wodurch legitime Nutzer den Zugang zum System verlieren. Neben diesen Hochrisikol\u00fccken wurden auch mittlere und niedrigere Risiken in verschiedenen anderen SAP-Produkten identifiziert und behoben. IT-Verantwortliche sollten die bereitgestellten Updates umgehend einspielen, um die Sicherheit ihrer Systeme zu gew\u00e4hrleisten und die Angriffsfl\u00e4che zu minimieren.<\/p>\n<\/div>\n\n\n\n

\n
\"SAP<\/a><\/figure>\n<\/div>\n<\/div>\n\n\n\n

SAP Note 3457592 <\/strong> Cross-Site Scripting (XSS) <\/h2>\n\n\n\n

Die SAP-Hinweis „3457592 – [CVE-2024-37177] Cross-Site Scripting (XSS) vulnerabilities in SAP Financial Consolidation“ f\u00fcr die Software-Komponente
EPM-BFC-TCL behandelt zwei Sicherheitsl\u00fccken in SAP Financial Consolidation. Die erste Schwachstelle, Reflected XSS (CVE-2024-37177), erm\u00f6glicht es einem Angreifer, Daten \u00fcber eine ungesicherte Quelle in die Webanwendung einzuspeisen und dadurch die Vertraulichkeit und Integrit\u00e4t der Anwendung erheblich zu gef\u00e4hrden. Die zweite Schwachstelle, Stored XSS (CVE-2024-37178), entsteht durch unzureichende Kodierung benutzergesteuerter Eingaben und kann die Vertraulichkeit der Anwendung beeintr\u00e4chtigen. Die L\u00f6sung besteht darin, die URL-Parameter korrekt zu kodieren und die im SAP-Hinweis genannten Support-Pakete und Patches zu<\/p>\n\n\n\n

SAP Note 3460407 Denial of Service (DoS)<\/strong> in SAP NetWeaver AS JAVA<\/h2>\n\n\n\n

Die SAP-Hinweis „3460407 – [CVE-2024-34688] Denial of service (DOS) in SAP NetWeaver AS Java (Meta Model Repository)“ beschreibt eine Sicherheitsl\u00fccke, die durch unbeschr\u00e4nkten Zugriff auf die Meta Model Repository-Dienste in SAP NetWeaver AS Java entsteht. Angreifer k\u00f6nnen DoS-Angriffe durchf\u00fchren, die die Verf\u00fcgbarkeit der Anwendung stark beeintr\u00e4chtigen, ohne jedoch die Vertraulichkeit und Integrit\u00e4t zu gef\u00e4hrden. Die Schwachstelle wird durch unautorisierten Zugriff auf das Meta Model Repository verursacht. Die L\u00f6sung besteht darin, die im Hinweis genannten Support-Pakete und Patches zu implementieren, um die Anwendung sicher zu konfigurieren und unautorisierten Zugriff zu verhindern.<\/p>\n\n\n\n

SAP Note 3453170 Denial of Service (DoS)<\/strong> in SAP NetWeaver AS ABAP<\/h2>\n\n\n\n

Die SAP-Hinweis „3453170 – [CVE-2024-33001] Denial of service (DOS) in SAP NetWeaver and ABAP platform“ beschreibt eine Sicherheitsl\u00fccke, die es einem Angreifer erm\u00f6glicht, die Leistung f\u00fcr legitime Nutzer zu beeintr\u00e4chtigen, indem er den Dienst abst\u00fcrzt oder \u00fcberlastet. Dies kann zu langen Antwortzeiten und Dienstunterbrechungen f\u00fchren, was die Verf\u00fcgbarkeit der Anwendung stark beeintr\u00e4chtigt. Die Schwachstelle kann nur ausgenutzt werden, wenn Autorisierungspr\u00fcfungen f\u00fcr Remote Function Calls deaktiviert sind oder ein Benutzer die Berechtigung f\u00fcr die Remote-Ausf\u00fchrung der Funktion hat. Die L\u00f6sung besteht darin, die Funktion nur noch intern auszuf\u00fchren und Remote-Aufrufe zu verhindern. Als zus\u00e4tzliche Einschr\u00e4nkung wird der Aufruf abgebrochen, wenn der Importparameter TIMES > 250000 ist.<\/p>\n\n\n\n

<\/p>\n\n\n\n

Hier finden Sie die SAP Notes (sortiert nach dem CVSS-Rank)<\/p>\n\n\n\n