{"id":285,"date":"2022-12-13T13:46:00","date_gmt":"2022-12-13T11:46:00","guid":{"rendered":"https:\/\/techltx.com\/?p=285"},"modified":"2023-07-10T00:04:21","modified_gmt":"2023-07-09T21:04:21","slug":"sap-security-patch-day-dezember-2022","status":"publish","type":"post","link":"https:\/\/techltx.com\/de\/sap\/sap-security-patch-day-dezember-2022\/2022\/12\/","title":{"rendered":"SAP Security Patch Day Dezember 2022"},"content":{"rendered":"\n
\n
\n

Am 13. Dezember 2022 veranstaltete SAP seinen monatlichen Security Patch Day<\/strong>, bei dem 14 neue Sicherheitshinweise ver\u00f6ffentlicht und Updates f\u00fcr f\u00fcnf zuvor ver\u00f6ffentlichte Hinweise bereitgestellt wurden. Der Patchday dieses Monats deckte eine Vielzahl von Schwachstellen ab, sodass es f\u00fcr SAP-Administratoren von entscheidender Bedeutung ist, die erforderlichen Updates zu \u00fcberpr\u00fcfen und zu implementieren.<\/p>\n

<\/p>\n<\/div>\n\n\n\n

\n
\"SAP<\/a>
SAP Security Patchday <\/figcaption><\/figure>\n<\/div>\n<\/div>\n\n\n

Um sicherzustellen, dass Sie \u00fcber die neuesten Sicherheitspatches f\u00fcr Ihre SAP-Landschaft auf dem Laufenden bleiben, empfehle ich Ihnen, das offizielle PDF-Dokument von SAP zu lesen oder das Support-Portal mit dem Filter \u201ePatch Day\u201c aufzurufen. Auf diese Weise k\u00f6nnen Sie alle relevanten Hinweise zu den in Ihrer Umgebung eingesetzten SAP-L\u00f6sungen identifizieren. Als Referenz hat SAP die Informationen aus dem Jahr 2022 auch in einem separaten PDF archiviert.<\/p>\n

Vollst\u00e4ndiger Benutzerzugriff in Business Objects<\/strong>
Eine der kritischen Schwachstellen, die im Patchday dieses Monats behoben werden, ist eine SSRF-Schwachstelle (Server-Side Request Forgery) in SAP BusinessObjects Business Intelligence Platform. Mit einem CVSS-Score von 9,9\/10 erm\u00f6glicht diese Schwachstelle Angreifern mit normalen BI-Benutzerrechten, beliebige Dateien auf das Betriebssystem des Servers hochzuladen oder zu ersetzen. Als L\u00f6sung f\u00fcr dieses Problem hat SAP ein Supportpaket bereitgestellt. Weitere Informationen finden Sie im SAP-Sicherheitshinweis Nr. 3239475 \u2013 [CVE-2022-41267] Sicherheitsl\u00fccke bez\u00fcglich serverseitiger Anforderungsf\u00e4lschung in SAP BusinessObjects Business Intelligence Platform.<\/p>\n

Datenextraktion und -modifikation in AS Java \/ SAP Process Integration<\/strong>
Urspr\u00fcnglich unter SAP Process Integration aufgef\u00fchrt, wurde diese Schwachstelle aktualisiert und umfasst jetzt auch AS Java. Mit einem CVSS-Score von 9,9\/10 erm\u00f6glicht die Schwachstelle unbefugten Zugriff und begrenzte \u00c4nderung von Benutzerdaten in AS Java \u00fcber eine offene JNDI-Schnittstelle ohne ordnungsgem\u00e4\u00dfe Benutzerauthentifizierung. SAP hat einen Patch im SAP-Sicherheitshinweis Nr. 3273480 \u2013 [CVE-2022-41272] Unsachgem\u00e4\u00dfe Zugriffskontrolle in SAP NetWeaver AS Java (Benutzerdefinierte Suche) ver\u00f6ffentlicht, um diese Schwachstelle zu beheben.<\/p>\n

Ein zweiter Hinweis mit einem etwas niedrigeren CVSS-Score von 9,4\/10 konzentriert sich ebenfalls auf AS Java und erw\u00e4hnt zun\u00e4chst die Prozessintegration. Diese Schwachstelle nutzt die JNDI-Schnittstelle im Messaging-System von AS Java aus. Es gibt keine verf\u00fcgbare Problemumgehung f\u00fcr dieses Problem und die erforderlichen Patches werden im Hinweis bereitgestellt. Weitere Einzelheiten finden Sie im SAP-Sicherheitshinweis Nr. 3267780 \u2013 [CVE-2022-41271] Unsachgem\u00e4\u00dfe Zugriffskontrolle in SAP NetWeaver AS Java (Messaging System).<\/p>\n

Es ist erw\u00e4hnenswert, dass die Schwachstelle in beiden F\u00e4llen nur \u00fcber das P4-Protokoll ausgenutzt werden kann. Daher ist es wichtig sicherzustellen, dass dieses Protokoll nicht im gesamten Netzwerk offengelegt wird. Wenn Ihr Unternehmen mit der Netzwerksegmentierung zwischen Servern und Clients zu k\u00e4mpfen hat, k\u00f6nnen diese Schwachstellen als Argumente f\u00fcr die Implementierung geeigneter Netzwerksicherheitsma\u00dfnahmen dienen.<\/p>\n

Sicherheitsl\u00fccke bez\u00fcglich Remotecodeausf\u00fchrung in SAP Commerce<\/strong>
SAP Commerce ist von einer kritischen Sicherheitsl\u00fccke im Zusammenhang mit der Apache Commons Text Java-Bibliothek betroffen. Mit einem CVSS-Score von 9,8\/10 k\u00f6nnte diese Schwachstelle das Einschleusen von Schadcode erm\u00f6glichen. SAP empfiehlt die Anwendung der aufgef\u00fchrten Supportpakete, um dieses Problem zu beheben. Weitere Informationen finden Sie im SAP-Sicherheitshinweis Nr. 3271523 \u2013 Schwachstelle bez\u00fcglich Remotecodeausf\u00fchrung im Zusammenhang mit Apache Commons Text in SAP Commerce.<\/p>\n

Code-Injektion in AS ABAP<\/strong>
Diese Schwachstelle in SAP_BASIS verfehlt zwar knapp die Kategorie \u201eHot News\u201c, erh\u00e4lt aber einen CVSS-Score von 8,8. Der betroffene Funktionsbaustein SHDB_TOOLS_RFC_WRAPPER f\u00fcr BW-Tabellen kann ausgenutzt werden, um die vollst\u00e4ndige Kontrolle \u00fcber das System zu erlangen. Die bereitgestellte Korrektur im SAP-Sicherheitshinweis #3268172 \u2013 [CVE-2022-41264] Code-Injection-Schwachstelle in SAP BASIS deaktiviert den kritischen Code. Da der Funktionsbaustein nur in ganz bestimmten F\u00e4llen ben\u00f6tigt wird, sollte die Umsetzung dieses Hinweises keine Auswirkungen auf produktive Prozesse haben.<\/p>\n

Die neuen Hot News Notes im Detail<\/strong>
Eine sehr wichtige Note bei der Behebung zweier kritischer Schwachstellen in SAP NetWeaver Process Integration (PI) wurde ver\u00f6ffentlicht. SAP identifizierte Schwachstellen im Messaging-System und in der benutzerdefinierten Suche, die Dienste \u00fcber das P4-Protokoll (ggf. auch bei P4Sec) offenlegten, ohne dass eine Benutzerauthentifizierung erforderlich war. Der SAP-Sicherheitshinweis Nr. 3273480 behebt die Schwachstelle der benutzerdefinierten Suche mit einem CVSS-Score von 9,9. Der SAP-Sicherheitshinweis Nr. 3267780 deckt die Sicherheitsl\u00fccke im Messaging-System ab, die mit einem CVSS-Score von 9,4 gekennzeichnet ist. Beide Hinweise stellen Patches bereit, die die Benutzerauthentifizierung und entsprechende Autorisierungen erzwingen. Dar\u00fcber hinaus erweitern sie die Berechtigungen bestimmter UME-Rollen (User Management Engine).<\/p>\n

Der SAP-Sicherheitshinweis Nr. 3239475 mit einem CVSS-Score von 9,9 behebt eine kritische Sicherheitsl\u00fccke in Bezug auf serverseitige Anforderungsf\u00e4lschung in SAP BusinessObjects Business Intelligence Platform. Angreifer mit \u201enormalen BI-Benutzerrechten\u201c k\u00f6nnen Dateien auf das Betriebssystem des Servers hochladen und ersetzen und so m\u00f6glicherweise die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit der Anwendung gef\u00e4hrden.<\/p>\n

SAP-Sicherheitshinweise mit hoher Priorit\u00e4t<\/strong>
Zu den in diesem Monat ver\u00f6ffentlichten Notes mit hoher Priorit\u00e4t geh\u00f6ren mehrere SAP Hot News-Hinweise, die kritische Schwachstellen adressierten. Der SAP Security Patch Day im Dezember unterstreicht die entscheidende Bedeutung der Behebung von Schwachstellen in verschiedenen SAP-Anwendungen. F\u00fcr SAP-Administratoren ist es von entscheidender Bedeutung, proaktiv zu bleiben und die erforderlichen Sicherheitspatches zu implementieren, um ihre Systeme vor potenziellen Angriffen zu sch\u00fctzen. Durch die Einhaltung der SAP-Richtlinien und die regelm\u00e4\u00dfige Anwendung von Patches k\u00f6nnen Unternehmen Sicherheitsrisiken mindern und die Integrit\u00e4t, Vertraulichkeit und Verf\u00fcgbarkeit ihrer SAP-Landschaften sicherstellen<\/p>\n\n\n

    \n
  • 3265173 [CVE-2022-41261] Improper Access Control in SAP Solution Manager (Diagnostic Agent)<\/li>\n\n\n\n
  • 3258950 Update 1 to Security Note 2872782 – [CVE-2020-6215] URL Redirection vulnerability in SAP NetWeaver AS ABAP (BSP Test Application)<\/li>\n\n\n\n
  • 3267780 [CVE-2022-41271] Improper access control in SAP NetWeaver Process Integration (Messaging System)<\/li>\n\n\n\n
  • 3271313 [CVE-2022-41275] Offener Redirect in SAP Solutions Manager (Enterprise Search)<\/li>\n\n\n\n
  • 3239475 [CVE-2022-41267] Server-Side Request Forgery vulnerability in SAP BusinessObjects Business Intelligence Platform<\/li>\n\n\n\n
  • 3266846 [CVE-2022-41274] Missing Authorization Checks in SAP Disclosure Management<\/li>\n\n\n\n
  • 3262544 [CVE-2022-41262] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver AS for Java (Http Provider Service)<\/li>\n\n\n\n
  • 3273480 [CVE-2022-41272] Improper access control in SAP NetWeaver Process Integration (User Defined Search)<\/li>\n\n\n\n
  • 3248255 [CVE-2022-41266] Cross-Site Scripting (XSS) vulnerability in SAP Commerce<\/li>\n\n\n\n
  • 3249648 [CVE-2022-41263] Missing authentication check vulnerability in SAP Business Objects Business Intelligence Platform (Web intelligence)<\/li>\n\n\n\n
  • 3271523 Remote Code Execution vulnerability associated with Apache Commons Text in SAP Commerce<\/li>\n\n\n\n
  • 3271091 [CVE-2022-41268] Privilege escalation vulnerability in SAP Business Planning and Consolidation<\/li>\n\n\n\n
  • 3268172 [CVE-2022-41264] Code Injection vulnerability in SAP BASIS<\/li>\n\n\n\n
  • 3270399 [CVE-2022-41273] URL Redirection vulnerability in SAP Sourcing and SAP Contract Lifecycle Management<\/li>\n\n\n\n
  • 2872782 [CVE-2020-6215] URL Redirection vulnerability in SAP NetWeaver AS ABAP \u2013 Business Server Pages Test Application IT00<\/li>\n\n\n\n
  • 3234755 Information Disclosure vulnerability in Master Data Governance<\/li>\n\n\n\n
  • 3229132 [CVE-2022-39013] Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (Program Objects)<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"

    SAP Security Notes Patchday Juni 2023 Dieser Artikel ist eine Zusammenfassung \u00fcber die Inhalte und aktuellen Schwachstellen f\u00fcr SAP PI, Diagnostic Agent, URL Redirection, Solution Manager, XSS, SAP Commerce<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"content-type":"","_uag_custom_page_level_css":"","site-sidebar-layout":"right-sidebar","site-content-layout":"content-boxed-container","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[5,11],"tags":[32,24,12,30,7,31],"class_list":["post-285","post","type-post","status-publish","format-standard","hentry","category-sap","category-sap-security-patch-day","tag-diagnostic-agent","tag-netweaver","tag-patchday","tag-pi","tag-sap","tag-solution-manager"],"uagb_featured_image_src":{"full":false,"thumbnail":false,"medium":false,"medium_large":false,"large":false,"1536x1536":false,"2048x2048":false},"uagb_author_info":{"display_name":"BALTX","author_link":"https:\/\/techltx.com\/de\/author\/baltx-com\/"},"uagb_comment_info":0,"uagb_excerpt":"SAP Security Notes Patchday Juni 2023 Dieser Artikel ist eine Zusammenfassung \u00fcber die Inhalte und aktuellen Schwachstellen f\u00fcr SAP PI, Diagnostic Agent, URL Redirection, Solution Manager, XSS, SAP Commerce","_links":{"self":[{"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/posts\/285","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/comments?post=285"}],"version-history":[{"count":2,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/posts\/285\/revisions"}],"predecessor-version":[{"id":476,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/posts\/285\/revisions\/476"}],"wp:attachment":[{"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/media?parent=285"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/categories?post=285"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/tags?post=285"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}