{"id":252,"date":"2023-06-13T20:18:00","date_gmt":"2023-06-13T17:18:00","guid":{"rendered":"https:\/\/techltx.com\/?p=252"},"modified":"2023-07-10T00:03:01","modified_gmt":"2023-07-09T21:03:01","slug":"sap-security-patch-day-juni-2023","status":"publish","type":"post","link":"https:\/\/techltx.com\/de\/sap\/sap-security-patch-day-juni-2023\/2023\/06\/","title":{"rendered":"SAP Security Patch Day Juni 2023"},"content":{"rendered":"\n
\n
\n

Liebe Leserinnen und Leser,<\/p>\n

mit einer Tasse Kaffee in der Hand sitzen Sie vielleicht an Ihrem Arbeitsplatz und fragen sich, was der SAP Security Patch Day im Juni 2023<\/strong> f\u00fcr Sie bereith\u00e4lt. Am 13.06.2023 war es wieder soweit – der zweite Dienstag des Monats brachte neue Sicherheitshinweise von SAP<\/strong>. Dieses Mal wurden acht neue Security Notes und f\u00fcnf Updates zu vorhergehenden Patchdays ver\u00f6ffentlicht. Sicherheit hat in unserer digitalen Welt einen hohen Stellenwert und in diesem Kontext spielen solche Aktualisierungen eine entscheidende Rolle.<\/p>\n<\/div>\n\n\n\n

\n
\"SAP<\/a><\/figure>\n<\/div>\n<\/div>\n\n\n

Die Monate Mai und Juni m\u00f6gen auf den ersten Blick ruhiger erscheinen, doch auch hier wurden Sicherheitsl\u00fccken aufgedeckt und behoben. Seien es nun Hinweise von SAP oder von anderen Security Researchern, jedes Detail z\u00e4hlt. Denn in einer Welt, in der Cyber-Angriffe immer raffinierter und h\u00e4ufiger werden, ist es unsere Pflicht, uns bestm\u00f6glich zu sch\u00fctzen. Besondere Aufmerksamkeit verdient der SAP UI5-Hinweis. Wenn Sie Fiori nutzen, sollten Sie hier unbedingt genauer hinsehen. Auch das SAP Knowledge Warehouse verdient Beachtung. Es ist immer empfehlenswert, das offizielle PDF durchzuschauen und zu pr\u00fcfen, ob es relevante Hinweise f\u00fcr Ihre eigene SAP-Landschaft gibt.<\/p>\n

Nun, lassen Sie uns tiefer in die Materie eintauchen.<\/em><\/p>\n

Die Highlights des Juni 2023 SAP Security Patch Day sind dreizehn neue und aktualisierte SAP-Sicherheitspatches. Besonders hervorzuheben ist hier Cross-Site Scripting (XSS). Insgesamt wurden acht Hinweise ver\u00f6ffentlicht, die diese Schwachstelle in verschiedenen Komponenten beheben. Und obwohl keine „Hot News“ gemeldet wurden, sind diese Updates alles andere als trivial. Zwei der High Priority Notes, #3326210 und #3324285, betreffen die SAPUI5 Komponente. Der erste Hinweis wurde am Patch Day im Mai ver\u00f6ffentlicht und wird nun mit einer aktualisierten L\u00f6sung und einem Workaround erneut ver\u00f6ffentlicht. Der zweite Hinweis ist einer der acht XSS-Sicherheitshinweise und betrifft das UI5-Management. Dar\u00fcber hinaus konnten die Onapsis Research Labs eine Schwachstelle im Transport Management System identifizieren und beheben, die zu einem Denial of Service f\u00fchren kann. Es zeigt sich also, dass die kontinuierliche Verbesserung der Sicherheit von SAP-Systemen eine Gemeinschaftsanstrengung ist. Letztlich l\u00e4sst sich feststellen, dass der SAP Security Patch Day Juni 2023 zwar keine explosiven Neuigkeiten mit sich brachte, aber dennoch wichtige Updates f\u00fcr Ihre SAP-Landschaft. Jeder Patch, jedes Update ist ein weiterer Schritt, um die Cyber-Resilienz zu st\u00e4rken.<\/p>\n

<\/p>\n

Die PCo Sicherheitsl\u00fccke [CVE-2022-22542] „Missing Authentication in SAP Plant Connectivity and Production Connector for SAP Digital Manufacturing<\/strong>“ l\u00e4sst darauf schlie\u00dfen, dass ein Angreifer potenziell Zugang zu den betroffenen Systemen im Fertigungsumfeld erhalten k\u00f6nnte, ohne sich ordnungsgem\u00e4\u00df zu authentifizieren. Je nachdem, welche Rechte ein Angreifer durch Ausnutzung dieser Sicherheitsl\u00fccke erh\u00e4lt, k\u00f6nnen verschiedene Arten von Angriffen durchgef\u00fchrt werden. Das k\u00f6nnte die folgenden Auswirkungen haben:<\/p>\n

Datenzugriff:<\/strong> Ein Angreifer k\u00f6nnte auf sensible Daten zugreifen, die auf dem betroffenen System gespeichert sind. Dazu k\u00f6nnten unternehmenskritische Informationen, pers\u00f6nliche Informationen von Mitarbeitern oder Kunden, Finanzdaten usw. geh\u00f6ren.<\/p>\n

Manipulation von Daten:<\/strong> Neben dem Zugriff auf Daten besteht die M\u00f6glichkeit, dass ein Angreifer auch in der Lage ist, Daten zu manipulieren. Dies k\u00f6nnte zu falschen Berichten, irref\u00fchrenden Analysen und fehlerhaften Gesch\u00e4ftsentscheidungen f\u00fchren.<\/p>\n

Ausf\u00fchrung von Code:<\/strong> In einigen F\u00e4llen k\u00f6nnte ein Angreifer in der Lage sein, eigenen Code auf dem betroffenen System auszuf\u00fchren. Dies k\u00f6nnte es ihm erm\u00f6glichen, Kontrolle \u00fcber das System zu erlangen, zus\u00e4tzliche Schadsoftware zu installieren oder weitere Angriffe auf andere Systeme im Netzwerk durchzuf\u00fchren.<\/p>\n

Verlust der Kontrolle:<\/strong> Schlimmstenfalls k\u00f6nnte ein Angreifer in der Lage sein, vollst\u00e4ndige Kontrolle \u00fcber das betroffene System zu erlangen. Dies k\u00f6nnte es ihm erm\u00f6glichen, das System auszuschalten, den Betrieb zu st\u00f6ren, oder es f\u00fcr Angriffe auf andere Systeme zu verwenden.<\/p>\n

Reputationsschaden:<\/strong> Bei einem erfolgreichen Angriff kann auch erheblicher Reputationsschaden f\u00fcr das betroffene Unternehmen entstehen. Kunden und Partner k\u00f6nnten Vertrauen in das Unternehmen verlieren und sich f\u00fcr Konkurrenten entscheiden.<\/p>\n

Daher mein Appell an Sie: Vernachl\u00e4ssigen<\/strong> Sie nicht die Wichtigkeit dieser Updates. Und noch eine Randnotiz: Machen Sie sich keine Sorgen, wenn Sie bemerken, dass viele Links bereits auf me.sap.com umleiten, anstatt auf support.sap.com. SAP arbeitet derzeit daran, alle Support-Nutzer umzustellen \u2013 wobei die Deadline vermutlich noch einmal verl\u00e4ngert wird. Schlie\u00dflich m\u00f6chten wir hervorheben, dass es in diesem Monat keine Hinweise mit einem CVSS-Score von 9.0\/10 gab, was eine gute Nachricht ist. Denn obwohl es immer wichtig ist, wachsam zu bleiben, ist es ebenso wichtig, die kleinen Siege zu feiern, wenn sie sich ergeben. Bleiben Sie also wachsam, bleiben Sie sicher und denken Sie daran, dass SAP und wir alle, die wir in der IT-Sicherheitsbranche arbeiten, stets f\u00fcr Sie da sind, um Ihnen dabei zu helfen, Ihr digitales Leben so sicher wie m\u00f6glich zu gestalten. Denn letztendlich geht es darum, Sicherheit zu gew\u00e4hrleisten und das Vertrauen in unsere digitalen Systeme aufrechtzuerhalten.<\/p>\n\n\n

    \n
  • 2826092 [CVE-2023-31406] Cross-Site Scripting (XSS) vulnerability in SAP BusinessObjects Business Intelligence platform<\/li>\n\n\n\n
  • 2826092 [CVE-2023-33986] Cross-Site Scripting (XSS) vulnerability in SAP CRM ABAP (Grantor Management)<\/li>\n\n\n\n
  • 3318657 [CVE-2023-33984] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver (Design Time Repository)<\/li>\n\n\n\n
  • 3331627 [CVE-2023-33985] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver (Enterprise Portal)<\/li>\n\n\n\n
  • 3325642 [CVE-2023-32114] Denial of Service in SAP NetWeaver (Change and Transport System)<\/li>\n\n\n\n
  • 3326210 [CVE-2023-30743] Improper Neutralization of Input in SAPUI5<\/li>\n\n\n\n
  • 3324285 [CVE-2023-33991] Stored Cross-Site Scripting vulnerability in SAP UI5 (Variant Management)<\/li>\n\n\n\n
  • 3322800 Update 1 to security note 3315971 – [CVE-2023-30742] Cross-Site Scripting (XSS) vulnerability in SAP CRM (WebClient UI)<\/li>\n\n\n\n
  • 3315971 [CVE-2023-30742] Cross-Site Scripting (XSS) vulnerability in SAP CRM (WebClient UI)<\/li>\n\n\n\n
  • 3102769 [CVE-2021-42063] Cross-Site Scripting (XSS) vulnerability in SAP Knowledge Warehouse<\/li>\n\n\n\n
  • 3142092 [CVE-2022-22542] Information Disclosure vulnerability in SAP S\/4HANA (Supplier Factsheet and Enterprise Search for Business Partner, Supplier and Customer)<\/li>\n\n\n\n
  • 1794761 [CVE-2023-32115] SQL Injection in Master Data Synchronization (MDS COMPARE TOOL)<\/li>\n\n\n\n
  • 3301942 [CVE-2023-2827] Missing Authentication in SAP Plant Connectivity and Production Connector for SAP Digital Manufacturing<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"

    SAP Security Notes Patchday Juni 2023 Dieser Artikel ist eine Zusammenfassung \u00fcber die Inhalte und aktuellen Schwachstellen f\u00fcr SAP Systeme insbesonder UI5, FIORI, Enterprise Portal und SAP PCo<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"content-type":"","_uag_custom_page_level_css":"","site-sidebar-layout":"right-sidebar","site-content-layout":"boxed-container","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[5,11],"tags":[14,12,7,13],"class_list":["post-252","post","type-post","status-publish","format-standard","hentry","category-sap","category-sap-security-patch-day","tag-fiori","tag-patchday","tag-sap","tag-sap-ui5"],"uagb_featured_image_src":{"full":false,"thumbnail":false,"medium":false,"medium_large":false,"large":false,"1536x1536":false,"2048x2048":false},"uagb_author_info":{"display_name":"BALTX","author_link":"https:\/\/techltx.com\/de\/author\/baltx-com\/"},"uagb_comment_info":0,"uagb_excerpt":"SAP Security Notes Patchday Juni 2023 Dieser Artikel ist eine Zusammenfassung \u00fcber die Inhalte und aktuellen Schwachstellen f\u00fcr SAP Systeme insbesonder UI5, FIORI, Enterprise Portal und SAP PCo","_links":{"self":[{"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/posts\/252","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/comments?post=252"}],"version-history":[{"count":3,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/posts\/252\/revisions"}],"predecessor-version":[{"id":470,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/posts\/252\/revisions\/470"}],"wp:attachment":[{"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/media?parent=252"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/categories?post=252"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/tags?post=252"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}