{"id":492,"date":"2023-07-11T10:13:55","date_gmt":"2023-07-11T07:13:55","guid":{"rendered":"https:\/\/techltx.com\/de\/?p=492"},"modified":"2023-07-11T10:49:19","modified_gmt":"2023-07-11T07:49:19","slug":"sap-security-patch-day-july-2023","status":"publish","type":"post","link":"https:\/\/techltx.com\/de\/sap\/sap-security-patch-day-july-2023\/2023\/07\/","title":{"rendered":"SAP Security Patch Day Juli 2023"},"content":{"rendered":"\n
\n
\n

Liebe Leserinnen und Leser,<\/p>\n

die IT Security im SAP Umfeld kennt keine Sommerpause. BALTX.COM liefert eine kompakte Zusammenstellung und Analyse der wichtigsten Themen zum SAP Security Patch am 11.07.2023. Das Common Vulnerability Scoring System (CVSS) ist ein offenes und herstellerneutrales Framework, das zur Kommunikation der Eigenschaften und Schweregrade von Software-Schwachstellen dient. Es wurde entwickelt, um die Ans\u00e4tze zur Risikobewertung \u00fcber mehrere Anbieter hinweg zu vereinheitlichen. Die Verantwortung f\u00fcr CVSS liegt bei FIRST (Forum of Incident Response and Security Teams). Dieses System spielt eine entscheidende Rolle dabei, wie Sicherheitsrisiken bewertet und kommuniziert werden, und bietet sowohl Unternehmen als auch Einzelpersonen einen klaren und konsistenten Ansatz zur Beurteilung potenzieller Bedrohungen.<\/p>\n<\/div>\n\n\n\n

\n
\"SAP<\/a><\/figure>\n<\/div>\n<\/div>\n\n\n

Der SAP Security Patch Day f\u00fcr Juli 2023 hat mehrere wichtige Updates in den SAP-Systemen enth\u00fcllt. Dieser Artikel pr\u00fcft die Schwachstellen, gibt einen \u00dcberblick \u00fcber die Schweregrade und bietet Ratschl\u00e4ge zur Bew\u00e4ltigung der identifizierten Probleme.<\/strong><\/p>\n

Insgesamt wurden 18 neue Sicherheitshinweise (seit dem letzten Patchday im Juni) ver\u00f6ffentlicht und einer aktualisiert. Die von diesen Schwachstellen betroffenen Systeme sind SAP Solution Manager, SAP ECC und SAP S\/4HANA, SAP NetWeaver, SAP Business Client, SAP BusinessObjects Business Intelligence Plattform, SAP ERP Defense Forces und Public Security, SAP Business Warehouse und SAP BW\/4HANA, SAP SQL Anywhere, SAP Enable Now und SAP S\/4HANA. Unter den Problemen waren die drei kritischsten Fehler in SAP Business Client, SAP ECC und SAP S\/4HANA (IS-OIL) und SAP NetWeaver (BI CONT ADD ON) zu finden. Diese Schwachstellen wurden basierend auf dem Common Vulnerability Scoring System (CVSS), einem offenen und anbieterneutralen Rahmenwerk zur Kommunikation der Eigenschaften und Schweregrade von Software-Schwachstellen, mit der h\u00f6chsten Schwere eingestuft. Besonders bemerkenswert unter den Updates ist eine Reihe von Sicherheitspatches f\u00fcr die Browsersteuerung Google Chromium, die mit dem SAP Business Client geliefert wurde. Diesem kritischen Patch folgte eine OS-Befehlsinjektions-Schwachstelle, die in SAP ECC und SAP S\/4HANA (IS-OIL) entdeckt wurde, und eine Directory-Traversal-Schwachstelle in SAP NetWeaver (BI CONT ADD ON).<\/p>\n

Die Schwachstellen reichen von unautorisiertem Zugriff, Header-Injection, Log-Injection, falscher Zugriffskontrolle bis hin zu Protokoll-Injection und anderen. Jede Schwachstelle wird durch eine CVSS-Bewertung bez\u00fcglich ihrer Schwere und einer empfohlenen Vorgehensweise begleitet. SAP hat die entsprechenden Fixes f\u00fcr alle identifizierten Schwachstellen ver\u00f6ffentlicht. Diese sind auf dem SAP Support Portal erh\u00e4ltlich. Links zu den jeweiligen Hinweisen stehen f\u00fcr weitere Referenzen zur Verf\u00fcgung. Angesichts dieser Enth\u00fcllungen wird dringend empfohlen, die identifizierten Schwachstellen zu \u00fcberpr\u00fcfen und die notwendigen Patches so schnell wie m\u00f6glich anzuwenden. Dies ist entscheidend, um die Sicherheit und Integrit\u00e4t Ihrer SAP-Systeme aufrechtzuerhalten.<\/p>\n

F\u00fcr Organisationen, die eines der betroffenen SAP-Systeme betreiben, ist es wichtig, eine gr\u00fcndliche Risikobewertung durchzuf\u00fchren und die Patch-Anwendung basierend auf den CVSS-Werten und der Kritikalit\u00e4t der Systeme in Ihrer IT-Landschaft zu priorisieren. Zusammenfassend unterstrich der SAP Patch Day im Juli die fortw\u00e4hrende Bedeutung eines proaktiven Sicherheitsmanagements in SAP-Umgebungen. Unternehmen m\u00fcssen wachsam und reaktionsschnell bleiben, um sichere, robuste und zuverl\u00e4ssige Systeme aufrechtzuerhalten.<\/p>\n\n\n

    \n
  • 3352058 [CVE-2023-36925] Nicht authentifizierter blinder SSRF in SAP Solution Manager (Diagnostics-Agent)<\/li>\n\n\n\n
  • 3348145 [CVE-2023-36921] Header-Injection in SAP Solution Manager (Diagnostics-Agent)<\/li>\n\n\n\n
  • 3351410 [CVE-2023-36924] Protokoll-Injection-Schwachstelle in SAP ERP Defense Forces and Public Security<\/li>\n\n\n\n
  • 3088078 [CVE-2023-33992] Fehlende Berechtigungspr\u00fcfung in SAP Business Warehouse und SAP BW\/4HANA<\/li>\n\n\n\n
  • 3324732 [CVE-2023-31405] Log-Injection-Schwachstelle in SAP NetWeaver AS f\u00fcr Java (Log Viewer)<\/li>\n\n\n\n
  • 3350297 [CVE-2023-36922] BS-Befehl-Injection-Schwachstelle in SAP ECC und SAP S\/4HANA (IS-OIL)<\/li>\n\n\n\n
  • 3318850 [CVE-2023-35874] Falsche Zugriffskontrolle in SAP NetWeaver AS ABAP und ABAP-Plattform<\/li>\n\n\n\n
  • 3343564 [CVE-2023-35872] Fehlende Berechtigungspr\u00fcfung in SAP NetWeaver Process Integration (Message Display Tool)<\/li>\n\n\n\n
  • 3343547 [CVE-2023-35873] Fehlende Berechtigungspr\u00fcfung in SAP NetWeaver Process Integration (Runtime Workbench)<\/li>\n\n\n\n
  • 3331029 [CVE-2023-33990] Denial-of-Service-Schwachstelle (DoS) in SAP SQL Anywhere<\/li>\n\n\n\n
  • 3326769 [Mehrere CVEs] Mehrere Sicherheitsschwachstellen in SAP Enable Now<\/li>\n\n\n\n
  • 3331376 [CVE-2023-33989] Directory-Traversal-Schwachstelle in SAP NetWeaver (BI_CONT-ADD-ON)<\/li>\n\n\n\n
  • 3320702 [CVE-2023-36917] Umgehung der Kennwort\u00e4nderungsratenbegrenzung in SAP-BusinessObjects-Business-Intelligence-Plattform<\/li>\n\n\n\n
  • 3340735 [CVE-2023-35871] Speicherbesch\u00e4digungsschwachstelle in SAP Web Dispatcher<\/li>\n\n\n\n
  • 3233899 [CVE-2023-33987] Schwachstelle bez\u00fcglich Request-Smuggling und Request-Verkettung in SAP Web Dispatcher<\/li>\n\n\n\n
  • 2622660 Sicherheitsupdates f\u00fcr Browser-Control Google Chromium in SAP Business Client<\/li>\n\n\n\n
  • 3341211 [CVE-2023-35870] Unzul\u00e4ssige Zugriffskontrolle in SAP S\/4HANA („Buchungsbelegvorlage verwalten“)<\/li>\n\n\n\n
  • 3324285 [CVE-2023-33991] – Stored-Cross-Site-Scripting-Schwachstelle in SAP UI5 (Variantenverwaltung)<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"

    SAP Security Notes Patchday Juli 2023 Dieser Artikel ist eine Zusammenfassung \u00fcber die Inhalte und aktuellen Schwachstellen f\u00fcr SAP Systeme insbesondere Solution Manager, Diagnostic-Agent, ERP, JAVA Log Viewer, Berechtigungspr\u00fcfung in SAP PI und diverse L\u00fccken im SAP Web Dispatcher<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"content-type":"","_uag_custom_page_level_css":"","site-sidebar-layout":"right-sidebar","site-content-layout":"boxed-container","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[5,11],"tags":[48,47,12,30,7,31],"class_list":["post-492","post","type-post","status-publish","format-standard","hentry","category-sap","category-sap-security-patch-day","tag-chromium","tag-web-dispatcher","tag-patchday","tag-pi","tag-sap","tag-solution-manager"],"uagb_featured_image_src":{"full":false,"thumbnail":false,"medium":false,"medium_large":false,"large":false,"1536x1536":false,"2048x2048":false},"uagb_author_info":{"display_name":"BALTX","author_link":"https:\/\/techltx.com\/de\/author\/baltx-com\/"},"uagb_comment_info":0,"uagb_excerpt":"SAP Security Notes Patchday Juli 2023 Dieser Artikel ist eine Zusammenfassung \u00fcber die Inhalte und aktuellen Schwachstellen f\u00fcr SAP Systeme insbesondere Solution Manager, Diagnostic-Agent, ERP, JAVA Log Viewer, Berechtigungspr\u00fcfung in SAP PI und diverse L\u00fccken im SAP Web Dispatcher","_links":{"self":[{"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/posts\/492","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/comments?post=492"}],"version-history":[{"count":2,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/posts\/492\/revisions"}],"predecessor-version":[{"id":495,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/posts\/492\/revisions\/495"}],"wp:attachment":[{"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/media?parent=492"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/categories?post=492"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/tags?post=492"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}