{"id":752,"date":"2023-11-14T16:00:11","date_gmt":"2023-11-14T14:00:11","guid":{"rendered":"https:\/\/techltx.com\/de\/?p=752"},"modified":"2023-12-16T18:16:45","modified_gmt":"2023-12-16T16:16:45","slug":"sap-security-note-patch-day-november-2023-commoncryptolib","status":"publish","type":"post","link":"https:\/\/techltx.com\/de\/sap\/sap-security-note-patch-day-november-2023-commoncryptolib\/2023\/11\/","title":{"rendered":"SAP Security Note Patch Day November 2023 | CommonCryptoLib"},"content":{"rendered":"\n<div class=\"wp-block-columns is-layout-flex wp-container-core-columns-is-layout-28f84493 wp-block-columns-is-layout-flex\">\n<div class=\"wp-block-column is-layout-flow wp-block-column-is-layout-flow\" style=\"flex-basis:66.66%\">\n<p>Liebe Leserinnen und Leser,<\/p>\n<p>am 14. November 2023 hat SAP einen wichtigen Schritt zur St\u00e4rkung der Sicherheit seiner Produkte unternommen. Der SAP Security Patch Day sah die Ver\u00f6ffentlichung von drei neuen Security Notes sowie die Aktualisierung von drei weiteren. Diese Aktualisierungen sind entscheidend, um die SAP-Systeme gegen eine Vielzahl von Schwachstellen zu sch\u00fctzen.\u00a0<\/p>\n<\/div>\n\n\n\n<div class=\"wp-block-column is-layout-flow wp-block-column-is-layout-flow\" style=\"flex-basis:33.33%\">\n<figure class=\"wp-block-image size-full\"><a href=\"https:\/\/techltx.com\/wp-content\/uploads\/2023\/06\/sap-security-patchday.png\"><img loading=\"lazy\" decoding=\"async\" width=\"491\" height=\"155\" src=\"https:\/\/techltx.com\/wp-content\/uploads\/2023\/06\/sap-security-patchday.png\" alt=\"SAP Security Note Patch Day 2023-09  November\n\" class=\"wp-image-248\" srcset=\"https:\/\/techltx.com\/wp-content\/uploads\/2023\/06\/sap-security-patchday.png 491w, https:\/\/techltx.com\/wp-content\/uploads\/2023\/06\/sap-security-patchday-300x95.png 300w\" sizes=\"auto, (max-width: 491px) 100vw, 491px\" \/><\/a><\/figure>\n<\/div>\n<\/div>\n\n\n\n<h2 class=\"wp-block-heading\">Was ist eigentlich die SAP CommonCryptoLib?<\/h2>\n\n\n\n<p>Die SAP CommonCryptoLib, eingef\u00fchrt im November 2013, ist die technische Nachfolgerin der bekannten SAP Cryptographic Library (SAPCRYPTOLIB). Sie ist eine zentrale kryptografische Bibliothek, die verschiedene Sicherheitsfunktionen f\u00fcr SAP-Systeme bietet.  Bitte beachten Sie das ggf. der Einsatz lizenzpflichtig sein k\u00f6nnte.  Hier ist eine Zusammenfassung der Einsatzfelder der SAP CommonCryptoLib: <\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Ersatz der SAP Cryptographic Library:<\/strong> CommonCryptoLib kann entweder \u00fcber den ABAP-Kernel oder \u00fcber den SAP Service Marketplace bereitgestellt werden.<\/li>\n\n\n\n<li><strong>Abw\u00e4rtskompatibilit\u00e4t:<\/strong> Sie ist vollst\u00e4ndig kompatibel mit fr\u00fcheren Versionen der SAP Cryptographic Library.<\/li>\n\n\n\n<li><strong>Einsatz in SAP NetWeaver Application Server Java:<\/strong> Auch hier wird die CommonCryptoLib f\u00fcr kryptografische Funktionen genutzt.<\/li>\n\n\n\n<li><strong>Integrierte Funktionen:<\/strong> Ab SAP Single Sign-On 2.0 SP3 sind die Funktionen der Secure Login Library in die CommonCryptoLib integriert, was die Installation vereinfacht.<\/li>\n\n\n\n<li><strong>Konfigurationsdateien:<\/strong> Im Gegensatz zur Secure Login Library wird die CommonCryptoLib ohne Konfigurationsdateien geliefert, unterst\u00fctzt aber alle konfigurierbaren Funktionen der fr\u00fcheren Bibliothek.<\/li>\n\n\n\n<li><strong>Zusatzfunktionen:<\/strong> Unterst\u00fctzung von Hardware-Sicherheitsmodulen (HSM) und Zertifikatswiderrufslisten (CRLs) als Teil des SAP Single Sign-On Produkts.<\/li>\n<\/ul>\n\n\n\n<p>ie CommonCryptoLib vereint die Funktionen der fr\u00fcheren Sicherheitsbibliotheken und bietet zus\u00e4tzliche neue Funktionen. Sie erleichtert die Bereitstellung und erweitert die Sicherheitsfunktionen in SAP-Systemen. Zuk\u00fcnftige Verbesserungen werden ausschlie\u00dflich in der CommonCryptoLib implementiert, weshalb ein Wechsel zu dieser neuen Bibliothek empfohlen wird.  Weitere Informationen unter dem z<a href=\"https:\/\/me.sap.com\/notes\/1848999\">entralen Hinweis 1848999 &#8211; Central Note for CommonCryptoLib 8 (SAPCRYPTOLIB)<\/a><\/p>\n\n\n\n<p><\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Potenzielle Angriffsszenarien<\/h3>\n\n\n\n<p>Basierend auf den SAP Security Patch Day Notes vom November 2023, hier sind beispielhaft drei potenzielle Angriffsszenarien, die durch die adressierten Sicherheitsl\u00fccken erm\u00f6glicht werden k\u00f6nnten:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>Ausnutzung der CommonCryptoLib Sicherheitsl\u00fccke:<\/strong> Ein Angreifer k\u00f6nnte die fehlende Autorisierungspr\u00fcfung in der SAP CommonCryptoLib ausnutzen. Dies k\u00f6nnte es einem nicht autorisierten Benutzer erm\u00f6glichen, sich h\u00f6here Berechtigungen zu erschleichen. In einer Unternehmensumgebung k\u00f6nnte ein solcher Angriff dazu f\u00fchren, dass der Angreifer vertrauliche Daten abf\u00e4ngt, manipuliert oder sogar den Systembetrieb st\u00f6rt. Beispielsweise k\u00f6nnte ein externer Angreifer oder ein Insider mit begrenzten Rechten unautorisierten Zugriff auf sensible Gesch\u00e4ftsdaten erhalten und diese zu kriminellen oder spionierenden Zwecken nutzen.<\/li>\n\n\n\n<li><strong>Improper Access Control in SAP Business One:<\/strong> Die unzul\u00e4ngliche Zugriffskontrolle bei der Installation des SAP Business One Produkts k\u00f6nnte einem Angreifer erm\u00f6glichen, administrative Funktionen ohne die erforderliche Berechtigung zu nutzen. Ein m\u00f6gliches Szenario w\u00e4re hier die unbefugte Modifikation von Gesch\u00e4ftsprozessen oder die Erstellung von Benutzerkonten mit erweiterten Rechten, was zu einer ernsthaften Unterbrechung der Gesch\u00e4ftsabl\u00e4ufe und einem m\u00f6glichen Datenverlust f\u00fchren k\u00f6nnte.<\/li>\n\n\n\n<li><strong>Server-Side Request Forgery in SAP NetWeaver AS Java:<\/strong> Die SSRF-Schwachstelle (Server-Side Request Forgery) in der GRMG Heartbeat-Anwendung von SAP NetWeaver AS Java k\u00f6nnte es Angreifern erm\u00f6glichen, interne Systeme von au\u00dfen zu beeinflussen. In einem solchen Szenario k\u00f6nnte ein Angreifer b\u00f6sartige Anfragen an interne Netzwerkdienste senden, die eigentlich von au\u00dfen nicht erreichbar sein sollten. Dies k\u00f6nnte zur Offenlegung interner Netzwerkstrukturen, zur Datenmanipulation oder sogar zum unbefugten Zugriff auf interne Dienste f\u00fchren, was die Sicherheit des gesamten Unternehmensnetzwerks gef\u00e4hrden k\u00f6nnte.<\/li>\n<\/ol>\n\n\n\n<h3 class=\"wp-block-heading\">Abhilfema\u00dfnahmen<\/h3>\n\n\n\n<p>Die Abhilfema\u00dfnahmen f\u00fcr die im November 2023 SAP Security Patch Day identifizierten Schwachstellen umfassen im Allgemeinen die folgenden Schritte:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>Patch-Implementierung:<\/strong>\n<ul class=\"wp-block-list\">\n<li><strong>Wichtigster Schritt:<\/strong> Aktualisieren Sie Ihre SAP-Systeme mit den neuesten Patches, die von SAP bereitgestellt werden. Diese Patches sind speziell entwickelt, um die identifizierten Sicherheitsl\u00fccken zu schlie\u00dfen.<\/li>\n\n\n\n<li><strong>Kontinuierliche \u00dcberwachung:<\/strong> Stellen Sie sicher, dass Sie regelm\u00e4\u00dfige Updates durchf\u00fchren und die Systeme auf dem neuesten Stand halten, um neue Sicherheitsl\u00fccken zu vermeiden.<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li><strong>Berechtigungsmanagement:<\/strong>\n<ul class=\"wp-block-list\">\n<li><strong>\u00dcberpr\u00fcfung und Einschr\u00e4nkung:<\/strong> \u00dcberpr\u00fcfen Sie die Benutzerberechtigungen, insbesondere in sensiblen Bereichen wie dem SAP Business One-Produkt. Stellen Sie sicher, dass nur autorisierte Benutzer Zugriff auf kritische Funktionen haben.<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li><strong>Sicherheitskonfigurationen:<\/strong>\n<ul class=\"wp-block-list\">\n<li><strong>Verbesserung der Sicherheitskonfigurationen:<\/strong> F\u00fcr Komponenten wie SAP NetWeaver AS Java, \u00fcberpr\u00fcfen und verbessern Sie die Konfigurationen, um SSRF (Server-Side Request Forgery) und \u00e4hnliche Angriffe zu verhindern.<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li><strong>Netzwerksicherheit:<\/strong>\n<ul class=\"wp-block-list\">\n<li><strong>Firewall-Regeln und Segmentation:<\/strong> Nutzen Sie Netzwerk-Firewalls und -Segmentierung, um den Zugriff auf kritische Systeme zu kontrollieren und zu beschr\u00e4nken.<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li><strong>Monitoring und Alerting:<\/strong>\n<ul class=\"wp-block-list\">\n<li><strong>\u00dcberwachungssysteme:<\/strong> Implementieren Sie Systeme zur \u00dcberwachung von Netzwerkverkehr und Benutzeraktivit\u00e4ten, um ungew\u00f6hnliche Muster oder verd\u00e4chtige Aktivit\u00e4ten zu erkennen.<\/li>\n\n\n\n<li><strong>Alarmierung:<\/strong> Stellen Sie sicher, dass Sie Alarmierungssysteme eingerichtet haben, die Sie im Falle einer potenziellen Sicherheitsverletzung benachrichtigen.<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li><strong>Sicherheitsbewusstsein und Schulung:<\/strong>\n<ul class=\"wp-block-list\">\n<li><strong>Mitarbeiterschulung:<\/strong> Schulen Sie Ihre Mitarbeiter in Bezug auf Cybersicherheit, um sie \u00fcber die neuesten Bedrohungen und Best Practices aufzukl\u00e4ren.<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li><strong>Backup und Recovery Pl\u00e4ne:<\/strong>\n<ul class=\"wp-block-list\">\n<li><strong>Datensicherungen:<\/strong> Stellen Sie sicher, dass regelm\u00e4\u00dfige Backups Ihrer wichtigen Daten durchgef\u00fchrt werden, um im Falle eines Angriffs eine Wiederherstellung zu erm\u00f6glichen.<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li><strong>Zus\u00e4tzliche Sicherheitsma\u00dfnahmen:<\/strong>\n<ul class=\"wp-block-list\">\n<li><strong>Verwendung von Security Tools:<\/strong> Nutzen Sie zus\u00e4tzliche Sicherheitstools wie Intrusion Detection Systems (IDS) und Intrusion Prevention Systems (IPS), um Ihr Netzwerk zu sch\u00fctzen.<\/li>\n<\/ul>\n<\/li>\n<\/ol>\n\n\n\n<p>Indem Sie diese Abhilfema\u00dfnahmen umsetzen, k\u00f6nnen Sie die Sicherheit Ihrer SAP-Systeme erheblich verbessern und sich gegen die Ausnutzung bekannter Schwachstellen sch\u00fctzen.<\/p>\n\n\n\n<p><\/p>\n\n\n\n<p><strong>Ver\u00f6ffentlichte Sicherheitshinweise von SAP<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>SAP Note <a href=\"https:\/\/me.sap.com\/notes\/3340576\/E\">3340576 <\/a>| Update to Security Note released on September 2023 Patch Day: [CVE-2023-40309] Missing Authorization check in SAP CommonCryptoLib<\/li>\n\n\n\n<li>SAP Note <a href=\"https:\/\/me.sap.com\/notes\/3355658\/E\">3355658 <\/a>| Improper Access Control vulnerability in SAP Business One product installation [CVE-2023-31403]<\/li>\n\n\n\n<li>SAP Note <a href=\"https:\/\/me.sap.com\/notes\/3333426\/E\">3333426 <\/a>| Update to Security Note released on October 2023 Patch Day: [CVE-2023-42477] Server-Side Request Forgery in SAP NetWeaver AS Java (GRMG Heartbeat application)<\/li>\n\n\n\n<li>SAP Note <a href=\"https:\/\/me.sap.com\/notes\/2494184\/E\">2494184 <\/a>| Update to Security Note released on August 2017 Patch Day: Cross-Site Request Forgery (CSRF) vulnerability in multiple SAP Sybase products<\/li>\n\n\n\n<li>SAP Note <a href=\"https:\/\/me.sap.com\/notes\/3362849\/E\">3362849 <\/a>| Information Disclosure vulnerability in SAP NetWeaver Application Server ABAP and ABAP Platform [CVE-2023-41366]<\/li>\n\n\n\n<li>SAP Note <a href=\"https:\/\/me.sap.com\/notes\/3366410\">336<\/a><a href=\"https:\/\/me.sap.com\/notes\/3366410\/E\">6<\/a><a href=\"https:\/\/me.sap.com\/notes\/3366410\">410<\/a> | Information Disclosure in NetWeaver AS Java Logon  [CVE-2023-42480]<\/li>\n<\/ul>\n\n\n\n<p><strong>Es ist immer wichtig, stets wachsam zu bleiben und sicherzustellen, dass Ihr SAP-System auf dem neuesten Stand ist. Das fr\u00fchzeitige und konsequente Anwenden von Sicherheitspatches sch\u00fctzt nicht nur Ihre Daten, sondern auch die Integrit\u00e4t Ihres gesamten Unternehmens.<\/strong><\/p>\n\n\n\n<p><strong>Bleiben Sie sicher und halten Sie Ihr System auf dem neuesten Stand!<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"<p>SAP Security Notes Patchday November 2023 Dieser Artikel ist eine Zusammenfassung \u00fcber die Inhalte und aktuellen Schwachstellen f\u00fcr SAP Systeme. SAP hat am 14.11.2023 vier neue Sicherheitshinweise und zwei Aktualisierungen ver\u00f6ffentlicht. <\/p>\n<p>Sicherheitshinweis 3340576: Adressiert eine kritische Sicherheitsl\u00fccke in der SAP CommonCryptoLib, die zu einer Eskalation von Berechtigungen f\u00fchren kann. Ein Angreifer k\u00f6nnte durch Ausnutzung dieser Schwachstelle Funktionen nutzen, die normalerweise eingeschr\u00e4nkten Benutzergruppen vorbehalten sind, sowie eingeschr\u00e4nkte Daten lesen, modifizieren oder l\u00f6schen. Ein Update auf CommonCryptoLib 8.5.50 oder h\u00f6her wird empfohlen, um dieses Problem zu beheben.<\/p>\n<p>Sicherheitshinweis 3366410: Beschreibt ein Informationsleck in der NetWeaver AS Java Logon-Anwendung, bei dem ein nicht authentifizierter Angreifer die Anmeldefunktionalit\u00e4t ausnutzen kann, um legitime Benutzer-IDs zu identifizieren. Dies hat Auswirkungen auf die Vertraulichkeit. Eine Korrektur wurde implementiert, und es wird empfohlen, den NW Application Server Java auf eine Version zu aktualisieren, in der das Problem behoben ist\u200b.<\/p>\n<p>Sicherheitshinweis 3362849: Diese Notiz behandelt ein Informationsleck im Internet Communication Manager (ICM) von SAP NetWeaver Application Server ABAP. Ein Angreifer k\u00f6nnte unter bestimmten Bedingungen auf unbeabsichtigte Daten zugreifen. Auch hier wird eine Korrektur bereitgestellt, und es wird empfohlen, den Kernel-Patch-Level entsprechend zu aktualisieren\u200b.<br \/>\nSicherheitshinweis 3333426: Diese Notiz adressiert eine Server-Side Request Forgery (SSRF)-Schwachstelle in der GRMG Heartbeat-Anwendung von SAP NetWeaver AS Java. Ein Angreifer k\u00f6nnte eine anf\u00e4llige Webanwendung dazu bringen, eine manipulierte Anfrage zu senden, was zu begrenzten Auswirkungen auf die Vertraulichkeit und Integrit\u00e4t der Anwendung f\u00fchrt. Eine erlaubte Liste-basierte Validierung von externen Server-Ressourcen-URLs und HTTP-Anfrage-Headern wird als L\u00f6sung vorgeschlagen<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"content-type":"","_uag_custom_page_level_css":"","site-sidebar-layout":"right-sidebar","site-content-layout":"","ast-site-content-layout":"normal-width-container","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"set","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[5,11],"tags":[62,60,61,63],"class_list":["post-752","post","type-post","status-publish","format-standard","hentry","category-sap","category-sap-security-patch-day","tag-sap-business-one-access-control","tag-sap-commoncryptolib-vulnerability","tag-sap-netweaver-authorization-check","tag-sap-sybase-csrf-security"],"uagb_featured_image_src":{"full":false,"thumbnail":false,"medium":false,"medium_large":false,"large":false,"1536x1536":false,"2048x2048":false},"uagb_author_info":{"display_name":"BALTX","author_link":"https:\/\/techltx.com\/de\/author\/baltx-com\/"},"uagb_comment_info":0,"uagb_excerpt":"SAP Security Notes Patchday November 2023 Dieser Artikel ist eine Zusammenfassung \u00fcber die Inhalte und aktuellen Schwachstellen f\u00fcr SAP Systeme. SAP hat am 14.11.2023 vier neue Sicherheitshinweise und zwei Aktualisierungen ver\u00f6ffentlicht. Sicherheitshinweis 3340576: Adressiert eine kritische Sicherheitsl\u00fccke in der SAP CommonCryptoLib, die zu einer Eskalation von Berechtigungen f\u00fchren kann. Ein Angreifer k\u00f6nnte durch Ausnutzung dieser&hellip;","_links":{"self":[{"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/posts\/752","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/comments?post=752"}],"version-history":[{"count":10,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/posts\/752\/revisions"}],"predecessor-version":[{"id":794,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/posts\/752\/revisions\/794"}],"wp:attachment":[{"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/media?parent=752"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/categories?post=752"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/tags?post=752"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}