{"id":2021,"date":"2024-10-08T21:26:27","date_gmt":"2024-10-08T18:26:27","guid":{"rendered":"https:\/\/techltx.com\/de\/?p=2021"},"modified":"2024-10-18T21:27:07","modified_gmt":"2024-10-18T18:27:07","slug":"sap-security-patchday-oktober-basis-leitfaden","status":"publish","type":"post","link":"https:\/\/techltx.com\/de\/sap\/sap-security-patchday-oktober-basis-leitfaden\/2024\/10\/","title":{"rendered":"SAP Security Patchday Oktober 2024 | Ein Leitfaden f\u00fcr SAP Basis Administratoren"},"content":{"rendered":"\n
\n
\n

Liebe Leserinnen und Leser,<\/p>\n

Am 8. Oktober 2024<\/strong> hat SAP auf ihrem Security Patch Day sechs neue Sicherheitsnotizen ver\u00f6ffentlicht und sieben bestehende aktualisiert, um auf Sicherheitsl\u00fccken in verschiedenen SAP Produkten zu reagieren. Diese regelm\u00e4\u00dfigen Updates unterstreichen die Notwendigkeit f\u00fcr SAP Basis Administratoren, stets auf dem neuesten Stand der Sicherheitsma\u00dfnahmen zu sein, um die SAP-Landschaft effektiv zu sch\u00fctzen. Die Patches zielen darauf ab, Schwachstellen zu beheben, die sowohl die Integrit\u00e4t als auch die Verf\u00fcgbarkeit der Systeme beeintr\u00e4chtigen k\u00f6nnen. In diesem Artikel werden wir die drei wichtigsten Sicherheitsnotizen analysieren und detaillierte Einblicke in die erforderlichen Ma\u00dfnahmen geben, die f\u00fcr eine sichere Konfiguration notwendig sind.<\/p>\n<\/div>\n\n\n\n

\n
\"SAP<\/a><\/figure>\n<\/div>\n<\/div>\n\n\n\n

SAP Note 3479478: [CVE-2024-41730] Missing Authentication Check in SAP BusinessObjects Business Intelligence Platform<\/h2>\n\n\n\n

Die SAP Note 3479478 adressiert eine kritische Schwachstelle in der SAP BusinessObjects Business Intelligence Platform. Wenn Single Sign-On auf der Enterprise-Authentifizierungsebene aktiviert ist, kann ein nicht autorisierter Benutzer ein Logon-Token \u00fcber ein REST-Endpunkt erhalten, was das System vollst\u00e4ndig kompromittieren k\u00f6nnte. Die Schwachstelle, bewertet mit einem CVSS-Score von 9.8, hat hohe Auswirkungen auf die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit der Plattform. In der aktuellen Version dieser Note, v20, wurden die ‚Support Packages & Patches‘ Informationen aktualisiert und ein Fix in der Version 4.2 SP009 bereitgestellt. F\u00fcr die Implementierung empfiehlt SAP, die Konfiguration der Enterprise-Authentifizierung sicher standardm\u00e4\u00dfig zu setzen und die korrigierten Patches zu implementieren, wie im Knowledge Base-Artikel 2144559 beschrieben.<\/p>\n\n\n\n

SAP Note 3523541: [CVE-2022-23302] Multiple Vulnerabilities in SAP Enterprise Project Connection<\/h2>\n\n\n\n

Die SAP Note 3523541 behandelt multiple Schwachstellen in der SAP Enterprise Project Connection, die auf veralteten Versionen der Spring Framework- und Log4j-Bibliotheken basieren. Mit einem CVSS-Score von 8.0 weisen diese Schwachstellen ein hohes Risiko auf und k\u00f6nnten ohne entsprechende Patches zu ernsthaften Sicherheitsbedrohungen f\u00fchren. Die Implementierung dieses Patches behebt die genannten CVEs durch ein Upgrade auf die relevanten Spring Framework- und Reload4j-Bibliotheken, wodurch die Sicherheit der betroffenen Systeme deutlich verbessert wird.<\/p>\n\n\n\n

SAP Note 3478615: [CVE-2024-37179] Insecure File Operations Vulnerability in SAP BusinessObjects Business Intelligence Platform (Web Intelligence)<\/h2>\n\n\n\n

In der SAP Note 3478615 wird eine Sicherheitsl\u00fccke in der SAP BusinessObjects Business Intelligence Platform behandelt, die es einem authentifizierten Benutzer erm\u00f6glicht, speziell gestaltete Anfragen an den Web Intelligence Reporting Server zu senden, um beliebige Dateien von der Maschine, auf der der Dienst gehostet wird, herunterzuladen. Diese Schwachstelle, mit einem CVSS-Score von 7.7 bewertet, betrifft die Vertraulichkeit der Anwendung erheblich. Als L\u00f6sung wird nach der Installation des Patches empfohlen, eine Datei PersonalFile_AllowList.txt<\/code> im entsprechenden Konfigurationsordner zu erstellen, um den Zugriff auf pers\u00f6nliche Datenanbieter einzuschr\u00e4nken.<\/p>\n\n\n\n

Die regelm\u00e4\u00dfige \u00dcberpr\u00fcfung und Implementierung von SAP Security Patches ist entscheidend, um die Sicherheit und Integrit\u00e4t der SAP-Systeme zu gew\u00e4hrleisten. Durch das proaktive Management dieser Sicherheitsnotizen k\u00f6nnen SAP Basis Administratoren die Systeme vor potenziellen Bedrohungen sch\u00fctzen und die Compliance mit den neuesten Sicherheitsstandards sicherstellen.<\/p>\n\n\n\n

Hier finden Sie die SAP Notes (sortiert nach dem CVSS-Rank) f\u00fcr ihr Vulnerability Management <\/strong>:<\/p>\n\n\n\n

SAP Note#<\/strong><\/td>Title<\/strong><\/td>Product and Versions<\/strong><\/td>Priority<\/strong><\/td>CVSS<\/strong><\/td><\/tr>
3479478<\/a><\/td>Update to Security Note released on August 2024 Patch Day<\/strong>:
[CVE-2024-41730<\/a>]\u00a0Missing Authentication check in SAP BusinessObjects Business Intelligence Platform<\/strong><\/td>		SAP BusinessObjects Business Intelligence Platform, Versions – ENTERPRISE 420, 430, 440<\/td>Critical<\/td>9.8<\/td><\/tr>
3523541<\/a><\/td>[CVE-2022-23302<\/a>]\u00a0Multiple vulnerabilities in SAP Enterprise Project Connection<\/strong>
Related CVEs –\u00a0CVE-2024-22259<\/a>,\u00a0CVE-2024-38809<\/a>,\u00a0CVE-2024-38808<\/a>\u00a0<\/td>		SAP Enterprise Project Connection, Version – 3.0<\/td>High<\/td>8.0<\/td><\/tr>
3478615<\/a><\/td>[CVE-2024-42378] Cross-Site S
[CVE-2024-37179<\/a>]\u00a0Insecure File Operations vulnerability in SAP BusinessObjects Business Intelligence Platform (Web Intelligence)<\/strong><\/td>		SAP BusinessObjects Business Intelligence Platform (Web Intelligence), Version – ENTERPRISE 420, 430, 2025, ENTERPRISECLIENTTOOLS 420, 430, 2025<\/td>High<\/td>7.7<\/td><\/tr>
3483344<\/a><\/td>Update to Security Note released on July 2024 Patch Day:<\/strong>
[CVE-2024-39592<\/a>]\u00a0Missing Authorization check in SAP PDCE<\/strong><\/td>		SAP PDCE, Versions – S4CORE 102, 103, S4COREOP 104, 105, 106, 107, 108<\/td>High<\/td>7.7<\/td><\/tr>
3495876<\/a><\/td>Update to Security Note released on August 2024 Patch Day:
[Multiple CVEs] Multiple vulnerabilities in SAP Replication Server (FOSS)<\/strong>
CVEs -\u202fCVE-2023-0215<\/a>,\u202fCVE-2022-0778<\/a>\u202f,\u202fCVE-2023-0286<\/a><\/td>		SAP Replication Server, Versions \u2013 16.0.3, 16.0.4<\/td>Medium<\/td>6.5<\/td><\/tr>
3477359<\/a><\/td>
[Update to Security Note released on September 2024 Patch Day<\/strong>
[CVE-2024-45283<\/a>]\u00a0Information disclosure vulnerability in SAP NetWeaver AS for Java (Destination Service)<\/strong><\/td>		SAP NetWeaver AS for Java (Destination Service),\u00a0
Versions – 7.50<\/td>		Medium<\/td>6.0<\/td><\/tr>
3507545<\/a><\/td>[CVE-2024-45278<\/a>]\u00a0Cross-Site Scripting (XSS) vulnerability in SAP Commerce Backoffice<\/strong><\/td>SAP Commerce Backoffice, Versions – HY_COM 2205, COM_CLOUD 2211<\/td>Medium<\/td>5.4<\/td><\/tr>
3503462<\/a><\/td>[CVE-2024-47594<\/a>]\u00a0Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Enterprise Portal (KMC)<\/strong><\/td>SAP NetWeaver Enterprise Portal (KMC), Version – KMC-BC 7.5<\/td>Medium<\/td>
5.4<\/td><\/tr>
3520100<\/a><\/td>[CVE-2024-45277<\/a>]\u00a0Prototype Pollution vulnerability in SAP HANA Client\u00a0<\/strong><\/td>SAP HANA Client, Version – HDB_CLIENT 2.0<\/td>Medium<\/td>4.3<\/td><\/tr>
3251893<\/a><\/td>[CVE-2024-45282<\/a>]\u00a0HTTP Verb Tampering in SAP S\/4 HANA(Manage Bank Statements)\u00a0<\/strong><\/td>SAP S\/4 HANA (Manage Bank Statements), Versions \u2013 S4CORE, 102, 103, 104, 105, 106, 107<\/td>Medium<\/td>4.3<\/td><\/tr>
3481588<\/a>\u202f<\/td>pdate to Security Note released on September 2024 Patch Day:<\/strong>
[CVE-2024-41729<\/a>]\u00a0Information Disclosure vulnerability in the SAP NetWeaver BW (BEx Analyzer)<\/strong><\/td>		SAP NetWeaver BW (BEx Analyzer), Versions \u2013 DW4CORE 200, DW4CORE 300, DW4CORE 400, SAP_BW 700, SAP_BW 701, SAP_BW 702, SAP_BW 731, SAP_BW 740, SAP_BW 750, SAP_BW 751, SAP_BW 752, SAP_BW 753, SAP_BW 754, SAP_BW 755, SAP_BW 756, SAP_BW 757, SAP_BW 758<\/td>Medium<\/td>4.3<\/td><\/tr>
3479293<\/a><\/td>Update to Security Note released on August 2024 Patch Day:<\/strong>
[CVE-2024-42373<\/a>]\u00a0Missing Authorization Check in SAP Student Life Cycle Management (SLcM)<\/strong>\u00a0<\/td>		\u00a0SAP Student Life Cycle Management (SLcM), Versions \u2013 IS-PS-CA 617, 618, 802, 803, 804, 805, 806, 807, 808<\/td>Medium<\/td>4.3<\/td><\/tr>
3454858<\/a><\/td>Update to Security Note released on July 2024 Patch Day:<\/strong>
[CVE-2024-37180<\/a>]\u00a0Information Disclosure vulnerability in SAP NetWeaver Application Server for ABAP and ABAP Platform\u00a0<\/strong><\/td>		SAP NetWeaver Application Server for ABAP and ABAP Platform,\u00a0
Versions – SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758<\/td>		Medium<\/td>4.1<\/td><\/tr><\/tbody><\/table>
Diese Tabelle bietet eine \u00fcbersichtliche Darstellung der SAP Security Notes mit Details zu Titeln, betroffenen Produkten, Priorit\u00e4ten und CVSS-Scores, um eine schnelle Bewertung und Reaktion zu erleichtern.<\/figcaption><\/figure>\n\n\n\n

Es ist immer wichtig, stets wachsam zu bleiben und sicherzustellen, dass Ihr SAP-System auf dem neuesten Stand ist. Das fr\u00fchzeitige und konsequente Anwenden von Sicherheitspatches sch\u00fctzt nicht nur Ihre Daten, sondern auch die Konsistenz und Integrit\u00e4t Ihres gesamten Unternehmens.<\/strong><\/p>\n\n\n\n

<\/p>\n","protected":false},"excerpt":{"rendered":"

SAP Security Notes Patch Day Oktober 2024 Dieser Artikel ist eine Zusammenfassung \u00fcber die Inhalte und aktuellen Schwachstellen f\u00fcr SAP Systeme. Am 8. Oktober 2024 ver\u00f6ffentlichte SAP auf ihrem Security Patch Day wichtige Updates, darunter sechs neue und sieben aktualisierte Sicherheitsnotizen, um Schwachstellen in verschiedenen Produkten wie SAP BusinessObjects und SAP Enterprise Project Connection zu adressieren. Die Sicherheitsnotizen umfassen kritische Sicherheitsl\u00fccken, die ohne entsprechende Patches die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit der SAP-Systeme gef\u00e4hrden k\u00f6nnen, mit spezifischen Ma\u00dfnahmen und Patches, die zur Behebung dieser Schwachstellen empfohlen werden. SAP Basis Administratoren werden dringend dazu angehalten, diese Patches zu implementieren, um die Sicherheit und Compliance ihrer Systeme sicherzustellen.<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"content-type":"","_uag_custom_page_level_css":"","site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"set","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[5,11],"tags":[184,189,191,192,190,187,12,7],"class_list":["post-2021","post","type-post","status-publish","format-standard","hentry","category-sap","category-sap-security-patch-day","tag-184","tag-log4j","tag-logon-token","tag-personalfile_allowlist-txt","tag-reload4j","tag-sap-businessobjects","tag-patchday","tag-sap"],"uagb_featured_image_src":{"full":false,"thumbnail":false,"medium":false,"medium_large":false,"large":false,"1536x1536":false,"2048x2048":false},"uagb_author_info":{"display_name":"BALTX","author_link":"https:\/\/techltx.com\/de\/author\/baltx-com\/"},"uagb_comment_info":8,"uagb_excerpt":"SAP Security Notes Patch Day Oktober 2024 Dieser Artikel ist eine Zusammenfassung \u00fcber die Inhalte und aktuellen Schwachstellen f\u00fcr SAP Systeme. Am 8. Oktober 2024 ver\u00f6ffentlichte SAP auf ihrem Security Patch Day wichtige Updates, darunter sechs neue und sieben aktualisierte Sicherheitsnotizen, um Schwachstellen in verschiedenen Produkten wie SAP BusinessObjects und SAP Enterprise Project Connection zu…","_links":{"self":[{"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/posts\/2021","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/comments?post=2021"}],"version-history":[{"count":6,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/posts\/2021\/revisions"}],"predecessor-version":[{"id":2032,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/posts\/2021\/revisions\/2032"}],"wp:attachment":[{"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/media?parent=2021"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/categories?post=2021"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/tags?post=2021"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}