{"id":282,"date":"2023-01-10T12:11:00","date_gmt":"2023-01-10T10:11:00","guid":{"rendered":"https:\/\/techltx.com\/?p=282"},"modified":"2023-07-10T00:04:10","modified_gmt":"2023-07-09T21:04:10","slug":"sap-security-patch-day-januar-2023","status":"publish","type":"post","link":"https:\/\/techltx.com\/de\/sap\/sap-security-patch-day-januar-2023\/2023\/01\/","title":{"rendered":"SAP Security Patch Day Januar 2023"},"content":{"rendered":"\n
\n
\n

Wichtige Hinweise f\u00fcr SAP Security Consultants: Highlights der SAP Security Notes vom 10. Januar 2023. <\/strong>Vor einigen Jahren gab es in einem Unternehmen eine unangenehme Situation, die zeigte, wie wichtig die Sicherheit von SAP-Systemen ist. An einem Montagmorgen stellte der SAP-Basisadministrator fest, dass das Unternehmen Opfer eines Ransomware-Angriffs geworden war. Die Angreifer hatten das SAP-System des Unternehmens infiltriert und wichtige Unternehmensdaten verschl\u00fcsselt. Der Zugriff auf wichtige Gesch\u00e4ftsdaten und Prozesse war blockiert, und das Unternehmen stand vor einem erheblichen finanziellen und operativen Schaden. Der Vorfall verdeutlichte die Notwendigkeit eines robusten Sicherheitskonzepts und einer proaktiven Herangehensweise an die Sicherheit von SAP-Systemen<\/p>\n<\/div>\n\n\n\n

\n
\"SAP<\/a>
SAP Security Patchday <\/figcaption><\/figure>\n<\/div>\n<\/div>\n\n\n

Sicherheit ist ein zentrales Thema f\u00fcr SAP-Systeme, und der SAP Security Patch Day stellt sicher, dass potenzielle Schwachstellen regelm\u00e4\u00dfig behoben werden. Der Januar 2023 war ein wichtiger Monat f\u00fcr SAP Security, da mehrere HotNews-Hinweise ver\u00f6ffentlicht wurden, die kritische Schwachstellen adressierten. In diesem Artikel werden die Highlights des Januar Patch Days behandelt und die Bedeutung von SAP Security im Jahr 2023 hervorgehoben.<\/p>\n

Highlights des Januar Patch Days: Im Januar wurden insgesamt 12 neue und aktualisierte SAP Security Notes ver\u00f6ffentlicht, darunter vier neue HotNews-Hinweise. Hier sind die wichtigsten Informationen zu den Highlights:<\/p>\n

    \n
  1. \n

    Aktualisierte HotNews-Hinweise: Drei der HotNews-Hinweise wurden aktualisiert, darunter die Hinweise #3267780 und #3273480, die urspr\u00fcnglich im Dezember 2022 ver\u00f6ffentlicht wurden. Diese Hinweise beheben zwei Improper Access Control-Schwachstellen in SAP NetWeaver AS Java, die vom Onapsis Research Labs entdeckt wurden. Die aktualisierten Hinweise bieten Patches f\u00fcr zus\u00e4tzliche Support Package Levels von SAP NW AS Java 7.50.<\/p>\n<\/li>\n

  2. \n

    SAP Security Note #3243924: Dieser Hinweis, mit einem CVSS-Score von 9,9, war der kritischste Patch des November 2022 Patch Days und betraf SAP BusinessObjects-Kunden. Das Update enth\u00e4lt eine Erweiterung des vorgeschlagenen Workarounds und erw\u00e4hnt, dass zwei Webseiten nach der Anwendung des Workarounds nicht mehr zug\u00e4nglich sind.<\/p>\n<\/li>\n<\/ol>\n

    HotNews-Hinweise im Detail: Die neuen HotNews-Hinweise des Januar Patch Days beinhalten wichtige Schwachstellen, die besondere Aufmerksamkeit erfordern. Hier sind einige davon:<\/p>\n

      \n
    1. \n

      SAP Security Note #3089413: Dieser Hinweis, mit einem CVSS-Score von 9,0, betrifft die Mehrheit der SAP-Kunden und ist m\u00f6glicherweise der kritischste Hinweis des Januar Patch Days. Es handelt sich um eine Capture-Replay-Schwachstelle in der Architektur von vertrauensw\u00fcrdigen RFC- und HTTP-Kommunikationsszenarien, die es b\u00f6sartigen Benutzern erm\u00f6glicht, unberechtigten Zugriff auf ein SAP-System zu erhalten. Die Behebung dieser Schwachstelle erfordert die Anwendung eines Kernel-Patches, eines ABAP-Patches und eine manuelle Migration aller vertrauensw\u00fcrdigen RFC- und HTTP-Zielobjekte. Auch die Entwicklungsteams m\u00fcssen beteiligt sein, um den Code anzupassen, wenn dynamische Ziele in kundeneigenem Code verwendet werden. Kunden sollten unbedingt eine Sicherung ihrer Systeme vor dem Patching durchf\u00fchren, da unvorhergesehene Probleme auftreten k\u00f6nnen.<\/p>\n<\/li>\n

    2. \n

      SAP Security Note #3262810: Dieser Hinweis behebt eine kritische Code-Injection-Schwachstelle in der SAP BusinessObjects Business Intelligence-Plattform (Analysis edition for OLAP). Ein authentifizierter Angreifer kann diese Schwachstelle \u00fcber das Netzwerk ausnutzen und eine hohe Auswirkung auf die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit der Anwendung verursachen. Der Hinweis enth\u00e4lt einen Patch und einen Workaround f\u00fcr Kunden, die den Patch nicht sofort implementieren k\u00f6nnen.<\/p>\n<\/li>\n

    3. \n

      SAP Security Note #3275391: Dieser Hinweis behebt eine Schwachstelle, die es einem nicht authentifizierten Angreifer erm\u00f6glicht, manipulierte Datenbankabfragen in SAP Business Planning and Consolidation Microsoft (SAP BPC MS) auszuf\u00fchren. Durch die ausgenutzten Abfragen k\u00f6nnen beliebige Daten in der Backend-Datenbank gelesen, ge\u00e4ndert oder gel\u00f6scht werden.<\/p>\n<\/li>\n<\/ol>\n

      Bedeutung von SAP Security im Jahr 2023: Die Ver\u00f6ffentlichung mehrerer HotNews-Hinweise im Januar 2023 unterstreicht die Bedeutung von SAP Security in diesem Jahr. Die Schwachstellen, die in den Hinweisen behoben wurden, k\u00f6nnen schwerwiegende Auswirkungen auf die Sicherheit und Integrit\u00e4t von SAP-Systemen haben. Es ist daher von entscheidender Bedeutung, dass SAP-Administratoren regelm\u00e4\u00dfig die neuesten Sicherheitspatches implementieren und ihre Systeme sch\u00fctzen.<\/p>\n

      Fazit: Der SAP Security Patch Day im Januar 2023 brachte wichtige Updates und HotNews-Hinweise mit sich, die kritische Schwachstellen in verschiedenen SAP-Systemen behoben haben. Die Sicherheit von SAP-Systemen sollte auch weiterhin ein priorit\u00e4res Thema f\u00fcr Unternehmen sein, da die Bedrohungslandschaft st\u00e4ndig weiterentwickelt wird. Es ist ratsam, regelm\u00e4\u00dfig die SAP Security Notes zu \u00fcberpr\u00fcfen und die empfohlenen Patches zu implementieren, um die Sicherheit der Systeme zu gew\u00e4hrleisten.<\/strong><\/p>\n\n\n

        \n
      • 3262810 [CVE-2023-0022] Code Injection vulnerability in SAP BusinessObjects Business Intelligence platform (Analysis edition for OLAP)<\/li>\n\n\n\n
      • 3150704 [CVE-2023-0023] Information Disclosure in SAP Bank Account Management (Manage Banks)<\/li>\n\n\n\n
      • 3283283 [CVE-2023-0013] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver AS for ABAP and ABAP Platform<\/li>\n\n\n\n
      • 3268093 [CVE-2023-0017] Improper access control in SAP NetWeaver AS for Java<\/li>\n\n\n\n
      • 3266006 [CVE-2023-0018] Cross-Site Scripting (XSS) vulnerability in SAP BusinessObjects Business Intelligence Platform (Central management console)<\/li>\n\n\n\n
      • 3089413 [CVE-2023-0014] Capture-replay vulnerability in SAP NetWeaver AS for ABAP and ABAP Platform<\/li>\n\n\n\n
      • 3275391 [CVE-2023-0016] SQL Injection vulnerability in SAP Business Planning and Consolidation MS<\/li>\n\n\n\n
      • 3251447 [CVE-2023-0015] Cross-Site Scripting (XSS) vulnerability in SAP BusinessObjects Business Intelligence (Web Intelligence)<\/li>\n\n\n\n
      • 3276120 [CVE-2023-0012] Local Privilege Escalation in SAP Host Agent (Windows)<\/li>\n\n\n\n
      • 3243924 [CVE-2022-41203] Insecure Deserialization of Untrusted Data in SAP BusinessObjects Business Intelligence Platform (Central Management Console and BI Launchpad)<\/li>\n<\/ul>\n\n\n

        Ziele und Vors\u00e4tze f\u00fcr SAP Basis im Jahr 2023:<\/strong><\/p>\n

          \n
        1. \n

          Aktualisierung auf die neueste SAP-Version: Ein wichtiges Ziel f\u00fcr das Jahr 2023 sollte die Aktualisierung auf die neueste Version von SAP sein. Neue Versionen enthalten oft verbesserte Sicherheitsfunktionen und -patches, die dazu beitragen k\u00f6nnen, potenzielle Schwachstellen zu minimieren und die Systemsicherheit zu st\u00e4rken.<\/p>\n<\/li>\n

        2. \n

          Implementierung von Sicherheitsrichtlinien: Es ist entscheidend, klare Sicherheitsrichtlinien und -verfahren zu definieren und zu implementieren. Dies umfasst die Festlegung von Zugriffsrechten, die regelm\u00e4\u00dfige \u00dcberpr\u00fcfung von Benutzerberechtigungen, das Aktualisieren von Passwortrichtlinien und das Durchf\u00fchren regelm\u00e4\u00dfiger Sicherheitsaudits.<\/p>\n<\/li>\n

        3. \n

          Aktualisierung von Systemkomponenten: Neben der Aktualisierung der SAP-Version ist es wichtig, auch andere Systemkomponenten regelm\u00e4\u00dfig zu aktualisieren, wie z.B. Datenbanken, Betriebssysteme und Middleware. Durch die Installation von Sicherheitspatches und Updates k\u00f6nnen potenzielle Schwachstellen in diesen Komponenten behoben werden.<\/p>\n<\/li>\n

        4. \n

          Umsetzung von regelm\u00e4\u00dfigen Backups: Die Durchf\u00fchrung regelm\u00e4\u00dfiger Backups der SAP-Systeme ist von entscheidender Bedeutung, um im Falle von Datenverlust oder Systemausf\u00e4llen eine schnelle Wiederherstellung zu erm\u00f6glichen. Es ist wichtig, sowohl Datenbankbackups als auch Systemimage-Backups durchzuf\u00fchren und sicherzustellen, dass die Backups an einem sicheren Ort aufbewahrt werden.<\/p>\n<\/li>\n

        5. \n

          \u00dcberwachung der Systemsicherheit: Eine kontinuierliche \u00dcberwachung der Systemsicherheit ist unerl\u00e4sslich, um potenzielle Angriffe oder ungew\u00f6hnliche Aktivit\u00e4ten fr\u00fchzeitig zu erkennen. Die Implementierung von Sicherheits\u00fcberwachungstools und die regelm\u00e4\u00dfige Durchf\u00fchrung von Sicherheitsaudits k\u00f6nnen dabei helfen, Sicherheitsl\u00fccken zu identifizieren und geeignete Gegenma\u00dfnahmen zu ergreifen.<\/p>\n<\/li>\n

        6. \n

          Schulung und Weiterbildung: Fortlaufende Schulungen und Weiterbildungen f\u00fcr das SAP-Basis-Team sind von gro\u00dfer Bedeutung, um \u00fcber aktuelle Sicherheitsthemen, Best Practices und neue Technologien auf dem Laufenden zu bleiben. Dies kann dazu beitragen, das Sicherheitsbewusstsein zu st\u00e4rken und das Team mit den erforderlichen Kenntnissen und F\u00e4higkeiten auszustatten, um sicherheitsrelevante Aufgaben effektiv zu bew\u00e4ltigen.<\/p>\n<\/li>\n

        7. \n

          Zusammenarbeit mit Security-Experten: Die Zusammenarbeit mit externen Sicherheitsexperten kann wertvolle Einblicke und Unterst\u00fctzung bieten. Externe Experten k\u00f6nnen bei der Durchf\u00fchrung von Sicherheitsaudits, der Identifizierung von Schwachstellen und der Entwicklung von Sicherheitsstrategien behilflich sein.<\/p>\n<\/li>\n<\/ol>\n

          Indem diese Ziele und Vors\u00e4tze im Jahr 2023 umgesetzt werden, k\u00f6nnen SAP-Basis-Administratoren dazu beitragen, die Sicherheit der SAP-Systeme zu verbessern und die Risiken von Sicherheitsvorf\u00e4llen zu minimieren.<\/p>","protected":false},"excerpt":{"rendered":"

          SAP Security Notes Patchday Juni 2023 Dieser Artikel ist eine Zusammenfassung \u00fcber die Inhalte und aktuellen Schwachstellen f\u00fcr SAP Systeme insbesondere Business Objects, Cross-Site Scripting (XSS), Application Server JAVA und ABAP, sowie den Windows SAP Host Agent. Dar\u00fcber hinaus gibt es als Neujahrspezial einige Anregungen zu Ziele und Vors\u00e4tze f\u00fcr die SAP Basis im Jahr 2023.<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"content-type":"","_uag_custom_page_level_css":"","site-sidebar-layout":"right-sidebar","site-content-layout":"content-boxed-container","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[5,11],"tags":[27,14,28,24,12,7,29,15],"class_list":["post-282","post","type-post","status-publish","format-standard","hentry","category-sap","category-sap-security-patch-day","tag-abap","tag-fiori","tag-hostagent","tag-netweaver","tag-patchday","tag-sap","tag-sql","tag-xss"],"uagb_featured_image_src":{"full":false,"thumbnail":false,"medium":false,"medium_large":false,"large":false,"1536x1536":false,"2048x2048":false},"uagb_author_info":{"display_name":"BALTX","author_link":"https:\/\/techltx.com\/de\/author\/baltx-com\/"},"uagb_comment_info":0,"uagb_excerpt":"SAP Security Notes Patchday Juni 2023 Dieser Artikel ist eine Zusammenfassung \u00fcber die Inhalte und aktuellen Schwachstellen f\u00fcr SAP Systeme insbesondere Business Objects, Cross-Site Scripting (XSS), Application Server JAVA und ABAP, sowie den Windows SAP Host Agent. Dar\u00fcber hinaus gibt es als Neujahrspezial einige Anregungen zu Ziele und Vors\u00e4tze f\u00fcr die SAP Basis im Jahr…","_links":{"self":[{"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/posts\/282","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/comments?post=282"}],"version-history":[{"count":3,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/posts\/282\/revisions"}],"predecessor-version":[{"id":475,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/posts\/282\/revisions\/475"}],"wp:attachment":[{"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/media?parent=282"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/categories?post=282"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/tags?post=282"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}