{"id":1684,"date":"2024-08-13T15:28:29","date_gmt":"2024-08-13T12:28:29","guid":{"rendered":"https:\/\/techltx.com\/de\/?p=1684"},"modified":"2024-08-13T15:28:32","modified_gmt":"2024-08-13T12:28:32","slug":"sap-security-patchday-august-24-sap-build-apps","status":"publish","type":"post","link":"https:\/\/techltx.com\/de\/sap\/sap-security-patchday-august-24-sap-build-apps\/2024\/08\/","title":{"rendered":"SAP Security Patchday August 2024 | SAP BuildApp und SAP BO"},"content":{"rendered":"\n
\n
\n

Liebe Leserinnen und Leser,<\/p>\n

w\u00e4hrend die Sommerferien in Europa zu Ende gehen, macht die IT-Sicherheit keine Pause. Heute, am 13. August 2024, hat SAP, Europas f\u00fchrender Unternehmenssoftwarehersteller, wichtige Sicherheitsupdates ver\u00f6ffentlicht. Diese umfassen zwei HotNews und vier Meldungen mit einem CVSS Score von \u00fcber 7, die dringende Ma\u00dfnahmen zur Gew\u00e4hrleistung der Stabilit\u00e4t und Sicherheit gesch\u00e4ftskritischer Anwendungen erfordern. Besonders hervorzuheben ist, dass auch eine Schwachstelle in SAP Build Apps identifiziert wurde, die durch eine veraltete Node.js-Version verursacht wurde und die Entwicklerteams zu sofortigem Handeln zwingt.<\/p>\n<\/div>\n\n\n\n

\n
\"SAP<\/a><\/figure>\n<\/div>\n<\/div>\n\n\n\n

SAP Note 3479478 Missing Authentication check in SAP BusinessObjects Business Intelligence Platform\u00a0<\/h2>\n\n\n\n

Die Sicherheitsnote 3479478, ver\u00f6ffentlicht am 13. August 2024, beschreibt eine kritische Schwachstelle in der SAP BusinessObjects Business Intelligence Platform, speziell bei der Verwendung von Single Sign-On im Enterprise-Authentifizierungsschema. Ein nicht autorisierter Benutzer k\u00f6nnte \u00fcber ein REST-Endpunkt ein Anmelde-Token erhalten und das System vollst\u00e4ndig kompromittieren. Dies hat hohe Auswirkungen auf die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit des Systems. Die Konfiguration der Single Sign-On Enterprise-Authentifizierung ist nun standardm\u00e4\u00dfig sicher. Dieses Problem wurde in den Patches behoben, die im Abschnitt „Supportpakete & Patches“ aufgelistet sind. F\u00fcr weitere Informationen zu Wartungspl\u00e4nen und Strategien der Business Intelligence Platform verweisen wir auf den Knowledge Base-Artikel 2144559.<\/p>\n\n\n\n

SAP Note 3477196 Server-Side Request Forgery vulnerability in applications built with SAP Build Apps\u00a0<\/h2>\n\n\n\n

Eine weitere HotNews, die Sicherheitsnote 3477196, betrifft die Anwendungen, die mit SAP Build Apps erstellt wurden. Aufgrund der Nutzung einer \u00e4lteren Version der Node.js-Bibliothek sind diese Anwendungen anf\u00e4llig f\u00fcr Server-Side Request Forgery (SSRF), was ein hohes Risiko f\u00fcr die Vertraulichkeit und Integrit\u00e4t darstellt, obwohl die Verf\u00fcgbarkeit nicht beeintr\u00e4chtigt wird. Die L\u00f6sung besteht darin, die Anwendung in SAP Build Apps mit der Version 4.11.130 oder sp\u00e4ter neu zu erstellen. Weitere Dokumentationen zur Verwendung von SAP Build Apps finden Sie in der entsprechenden Hilfe.<\/p>\n\n\n\n

SAP Note 3485284 XML injection in SAP BEx Web Java Runtime Export Web Service\u00a0<\/h2>\n\n\n\n

Die Sicherheitsnote 3485284 adressiert eine XML-Injection-Schwachstelle im BEx Web Java Runtime Export Web Service, die nicht ausreichend ein XML-Dokument von einer nicht vertrauensw\u00fcrdigen Quelle validiert. Angreifer k\u00f6nnten Informationen aus dem SAP ADS-System abrufen und die Anzahl der XMLForm-Dienste ersch\u00f6pfen, was die Verf\u00fcgbarkeit des SAP ADS Rendering (PDF-Erstellung) beeintr\u00e4chtigt. Diese Schwachstelle betrifft sowohl die Vertraulichkeit als auch die Verf\u00fcgbarkeit der Anwendung. Der XML-Parser wurde nun aktualisiert, um die Schwachstelle zu pr\u00fcfen. Implementieren Sie die im Sicherheitshinweis referenzierten Supportpakete und Patches, um das Problem zu beheben.<\/p>\n\n\n\n

Diese aktuellen Sicherheitsupdates unterstreichen die Bedeutung einer zeitnahen Patch-Implementierung, um die Sicherheit und Stabilit\u00e4t von SAP-Anwendungen zu gew\u00e4hrleisten. Wir raten allen SAP-Nutzern, die notwendigen Schritte einzuleiten und die Patches umgehend zu implementieren.<\/p>\n\n\n\n

<\/p>\n\n\n\n

<\/p>\n\n\n\n

Hier finden Sie die SAP Notes (sortiert nach dem CVSS-Rank)<\/p>\n\n\n\n