{"id":726,"date":"2023-09-12T19:49:01","date_gmt":"2023-09-12T16:49:01","guid":{"rendered":"https:\/\/techltx.com\/de\/?p=726"},"modified":"2023-10-09T20:22:08","modified_gmt":"2023-10-09T17:22:08","slug":"sap-security-patch-day-september-2023","status":"publish","type":"post","link":"https:\/\/techltx.com\/de\/sap\/sap-security-patch-day-september-2023\/2023\/09\/","title":{"rendered":"SAP Security Patch Day September 2023 – SAP CommonCryptoLib"},"content":{"rendered":"\n
\n
\n

Liebe Leserinnen und Leser,<\/p>\n

Wie jeden Monat, m\u00f6chte ich Sie \u00fcber die neuesten Security Notes und Schwachstellen in SAP-Produkten informieren. Es ist von entscheidender Bedeutung, dass Sie Ihre Systeme regelm\u00e4\u00dfig aktualisieren und \u00fcber die neuesten Sicherheitspatches auf dem Laufenden bleiben.<\/p>\n

SAP hat die Bedeutung von Sicherheit stets betont und empfiehlt dringend, das Support Portal zu besuchen und Patches mit hoher Priorit\u00e4t anzuwenden, um das SAP-Landschaft zu sch\u00fctzen. Falls Sie weitere Einblicke in die Sicherheitsforscher und Forschungsunternehmen erhalten m\u00f6chten, die zu den Sicherheitspatches dieses Monats beigetragen haben, klicken Sie bitte hier<\/a>.<\/p>\n

SAP setzt sich zudem daf\u00fcr ein, vertrauensw\u00fcrdige Produkte und Cloud-Services bereitzustellen. Ein sicherer Betrieb und die Integrit\u00e4t der Daten kann nur durch eine sichere Konfiguration gew\u00e4hrleistet werden. SAP hat daher Sicherheitsempfehlungen dokumentiert, um Ihnen bei der optimalen Sicherheitskonfiguration Ihres SAP-Portfolios zu helfen.<\/p>\n<\/div>\n\n\n\n

\n
\"SAP<\/a><\/figure>\n<\/div>\n<\/div>\n\n\n\n

Der SAP Security Patch Day f\u00fcr September 2023 hat mehrere wichtige Updates in den SAP-Systemen enth\u00fcllt. Dieser Artikel pr\u00fcft die Schwachstellen, gibt einen \u00dcberblick \u00fcber die Schweregrade und bietet Ratschl\u00e4ge zur Bew\u00e4ltigung der identifizierten Probleme.<\/strong> Die SAP CommonCryptoLib <\/strong> ist kaputt: Ein kritischer Blick auf die Sicherheitsl\u00fccke in allen NetWeaver-Komponenten und SAP HANA.<\/strong><\/p>\n\n\n\n

Eines dieser zentralen Systeme, das im Mittelpunkt dieses Artikels steht, ist die SAP CommonCryptoLib.<\/p>\n\n\n\n

<\/p>\n\n\n\n

Die Herzst\u00fcck-Software von SAP<\/strong>
Die SAP CommonCryptoLib ist weit mehr als nur ein weiteres Softwarest\u00fcck in SAP-Produkten. Es handelt sich um die zentrale Software, die verantwortlich ist f\u00fcr die Verschl\u00fcsselung von SNC (Secure Network Communication), den Schutz von http-Datenverkehr und das Management von Zertifikaten. Kurz gesagt, sie ist der Schl\u00fcssel zu allem, was in SAP mit Vertraulichkeit und Integrit\u00e4t zu tun hat.<\/p>\n\n\n\n

Was ist schiefgelaufen?<\/strong>
Trotz ihrer kritischen Bedeutung f\u00fcr SAP-Systeme weist die CommonCryptoLib einen schwerwiegenden Fehler auf. Dieser Fehler erm\u00f6glicht es Angreifern, Schwachstellen in der Authentifizierung auszunutzen. Das Endergebnis? Ein Angreifer k\u00f6nnte sich h\u00f6here Systemrechte verschaffen, um auf sensible Daten zuzugreifen und Systemeinstellungen zu manipulieren. Der Schweregrad dieses Fehlers wird durch einen CVSS-Score von 9.8 von 10 Punkten unterstrichen, was auf ein sehr hohes Risikolevel hinweist.<\/p>\n\n\n\n

Wie kann das Problem gel\u00f6st werden?<\/strong>
Die gute Nachricht ist, dass SAP bereits Ma\u00dfnahmen ergriffen hat, um dieses Problem anzugehen. F\u00fcr viele SAP NetWeaver-Systeme steht ein Update bereit, das entweder durch einen neuen Kernel oder durch einen Hotfix installiert werden kann. Aber die Herausforderung h\u00f6rt hier nicht auf. Weitere Systeme, wie der SAP Web Dispatcher, Host Agents, Content Server, SAP HANA Datenbanken und XSA, m\u00fcssen ebenfalls aktualisiert werden, um sich vor dieser Bedrohung zu sch\u00fctzen.<\/p>\n\n\n\n

F\u00fcr diejenigen, die tiefer in das Thema eintauchen m\u00f6chten oder sich \u00fcber die Details des Patches informieren wollen, verweise ich auf den Hinweis von SAP: 3340576 \u2013 [CVE-2023-40309] Missing Authorization check in SAP CommonCryptoLib. Dort finden Sie nicht nur eine ausf\u00fchrliche Liste aller betroffenen Komponenten, sondern auch einen Link zu einem FAQ, der h\u00e4ufig gestellte Fragen zu diesem Thema beantwortet.<\/p>\n\n\n\n

Wie l\u00e4sst sich die SAP CommonCryptoLib Version \u00fcberpr\u00fcfen?<\/strong><\/p>\n\n\n\n

    \n
  1. Mittels ABAP Stack kann die Transaktion STRUSTSSO2 genutzt werden.<\/li>\n\n\n\n
  2. Im Men\u00fc „Umfeld“ w\u00e4hlen und dann den Men\u00fcpunkt „SSF Version anzeigen“ ausw\u00e4hlen. <\/li>\n\n\n\n
  3. Im erscheinenden SAP popup wird die aktive SAP CommonCryptoLib <\/strong> version angezeigt.<\/li>\n<\/ol>\n\n\n\n

    <\/p>\n\n\n\n

    HotNews<\/h4>\n\n\n\n
      \n
    • BI-BIP-CMC [CVE-2023-25616]<\/strong>: Code Injection vulnerability in SAP Business Objects Business Intelligence Platform (CMC) with a CVSS score of 9.9. First released on 14.03.2023, updated on 12.09.2023.<\/li>\n\n\n\n
    • BI-BIP-LCM [CVE-2023-40622]<\/strong>: Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (Promotion Management) with a CVSS score of 9.9. Released on 12.09.2023.<\/li>\n\n\n\n
    • BC-IAM-SSO-CCL [CVE-2023-40309]<\/strong>: Missing Authorization check in SAP CommonCryptoLib with a CVSS score of 9.8. Released on 12.09.2023.<\/li>\n\n\n\n
    • BC-FES-BUS-DSK [CVE-2023-40624]<\/strong>: Security updates for the browser control Google Chromium delivered with SAP Business Client with a CVSS score of 10.0. First released on 10.04.2018, updated on 12.09.2023.<\/li>\n\n\n\n
    • BC-XI-CON-UDS [CVE-2022-41272]<\/strong>: Improper access control in SAP NetWeaver AS Java (User Defined Search) with a CVSS score of 9.9. First released on 13.12.2022, updated on 12.09.2023.<\/li>\n<\/ul>\n\n\n\n

      High Priority<\/h4>\n\n\n\n
        \n
      • BI-RA-WBI-FE [CVE-2023-42472]<\/strong>: Insufficient File type validation in SAP BusinessObjects Business Intelligence Platform (Web Intelligence HTML interface) with a CVSS score of 8.7. Released on 12.09.2023.<\/li>\n\n\n\n
      • BC-CCM-HAG [CVE-2023-40308]<\/strong>: Memory Corruption vulnerability in SAP CommonCryptoLib with a CVSS score of 7.5. Released on 12.09.2023.<\/li>\n<\/ul>\n\n\n\n

        Medium Priority<\/h4>\n\n\n\n
          \n
        • BC-SYB-PD [CVE-2023-40621]<\/strong>: Code Injection vulnerability in SAP PowerDesigner Client with a CVSS score of 6.3. Released on 12.09.2023.<\/li>\n\n\n\n
        • MM-FIO-PUR-SQ-CON [CVE-2023-40625]<\/strong>: Missing Authorization check in Manage Purchase Contracts App with a CVSS score of 5.4. Released on 12.09.2023.<\/li>\n\n\n\n
        • BC-GP [CVE-2023-41367]<\/strong>: Missing Authentication check in SAP NetWeaver (Guided Procedures) with a CVSS score of 5.3. Released on 12.09.2023.<\/li>\n\n\n\n
        • BI-BIP-LCM [CVE-2023-37489]<\/strong>: Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (Version Management System) with a CVSS score of 5.3. Released on 12.09.2023.<\/li>\n\n\n\n
        • FS-QUO [CVE-2023-40308]<\/strong>: Denial of service (DOS) vulnerability due to the usage of vulnerable version of Commons FileUpload in SAP Quotation Management Insurance (FS-QUO) with a CVSS score of 5.7. Released on 12.09.2023.<\/li>\n\n\n\n
        • BC-WD-UR [CVE-2023-40624]<\/strong>: Code Injection vulnerability in SAP NetWeaver AS ABAP (applications based on Unified Rendering) with a CVSS score of 5.5. Released on 12.09.2023.<\/li>\n\n\n\n
        • BI-BIP-INS [CVE-2023-40623]<\/strong>: Arbitrary File Delete via Directory Junction in SAP BusinessObjects Suite(installer) with a CVSS score of 6.2. Released on 12.09.2023.<\/li>\n<\/ul>\n\n\n\n

          Low Priority<\/h4>\n\n\n\n
            \n
          • FI-FIO-AP-CHK [CVE-2023-41368]<\/strong>: Insecure Direct Object Reference (IDOR) vulnerability in SAP S\/4HANA (Manage checkbook apps) with a CVSS score of 2.7. Released on 12.09.2023.<\/li>\n\n\n\n
          • FI-FIO-AP [CVE-2023-41369]<\/strong>: External Entity Loop vulnerability in SAP S\/4HANA (Create Single Payment application) with a CVSS score of 3.5. Released on 12.09.2023.<\/li>\n<\/ul>\n\n\n\n

            F\u00fcr detaillierte Informationen zu allen oben genannten und anderen Patches, besuchen Sie bitte das offizielle SAP Support Portal.<\/p>\n\n\n\n

            Es ist immer wichtig, stets wachsam zu bleiben und sicherzustellen, dass Ihr SAP-System auf dem neuesten Stand ist. Das fr\u00fchzeitige und konsequente Anwenden von Sicherheitspatches sch\u00fctzt nicht nur Ihre Daten, sondern auch die Integrit\u00e4t Ihres gesamten Unternehmens.<\/strong><\/p>\n\n\n\n

            Bleiben Sie sicher und halten Sie Ihr System auf dem neuesten Stand!<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"

            SAP Security Notes Patchday September 2023 Dieser Artikel ist eine Zusammenfassung \u00fcber die Inhalte und aktuellen Schwachstellen f\u00fcr SAP Systeme. In diesem Monat bereitet die SAP Cryptographic Library (SAPCRYPTOLIB) wohl die meiste Arbeit f\u00fcr die SAP BASIS Administratoren. Die SAP Cryptographic Library unterst\u00fctzt nicht nur die Verwendung digitaler Signaturen in SAP-Systemen, sondern bietet auch Verschl\u00fcsselungsfunktionen. Sie k\u00f6nnen sie z. B. als Sicherheitsprodukt f\u00fcr Secure Network Communications (SNC) oder f\u00fcr SSL-Unterst\u00fctzung beim SAP Web Application Server verwenden. Die SAP CommonCryptoLib kann im SAP Service Marketplace heruntergeladen werden. Da die Bibliothek Verschl\u00fcsselungsfunktionen enth\u00e4lt, unterliegt sie allerdings den deutschen Exportvorschriften. Falls Sie keine Berechtigung f\u00fcr den Erhalt der Bibliothek haben, wird sie Ihnen auf der Download-Seite auch nicht angeboten.<\/p>\n

            Au\u00dferdem m\u00fcssen Sie alle geltenden Importvorschriften einhalten.<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"content-type":"","_uag_custom_page_level_css":"","site-sidebar-layout":"right-sidebar","site-content-layout":"","ast-site-content-layout":"normal-width-container","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"set","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[5],"tags":[59,58],"class_list":["post-726","post","type-post","status-publish","format-standard","hentry","category-sap","tag-sap-commoncryptolib","tag-sap-cryptolib"],"uagb_featured_image_src":{"full":false,"thumbnail":false,"medium":false,"medium_large":false,"large":false,"1536x1536":false,"2048x2048":false},"uagb_author_info":{"display_name":"BALTX","author_link":"https:\/\/techltx.com\/de\/author\/baltx-com\/"},"uagb_comment_info":0,"uagb_excerpt":"SAP Security Notes Patchday September 2023 Dieser Artikel ist eine Zusammenfassung \u00fcber die Inhalte und aktuellen Schwachstellen f\u00fcr SAP Systeme. In diesem Monat bereitet die SAP Cryptographic Library (SAPCRYPTOLIB) wohl die meiste Arbeit f\u00fcr die SAP BASIS Administratoren. Die SAP Cryptographic Library unterst\u00fctzt nicht nur die Verwendung digitaler Signaturen in SAP-Systemen, sondern bietet auch Verschl\u00fcsselungsfunktionen.…","_links":{"self":[{"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/posts\/726","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/comments?post=726"}],"version-history":[{"count":5,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/posts\/726\/revisions"}],"predecessor-version":[{"id":733,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/posts\/726\/revisions\/733"}],"wp:attachment":[{"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/media?parent=726"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/categories?post=726"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/tags?post=726"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}