{"id":770,"date":"2023-12-13T17:07:00","date_gmt":"2023-12-13T15:07:00","guid":{"rendered":"https:\/\/techltx.com\/de\/?p=770"},"modified":"2023-12-16T18:03:18","modified_gmt":"2023-12-16T16:03:18","slug":"sap-security-note-patch-day-dezember-2023-sap-btp-security-services-integration","status":"publish","type":"post","link":"https:\/\/techltx.com\/de\/sap\/sap-security-note-patch-day-dezember-2023-sap-btp-security-services-integration\/2023\/12\/","title":{"rendered":"SAP Security Note Patch Day Dezember 2023 | SAP Business Technology Platform (BTP)"},"content":{"rendered":"\n<div class=\"wp-block-columns is-layout-flex wp-container-core-columns-is-layout-28f84493 wp-block-columns-is-layout-flex\">\n<div class=\"wp-block-column is-layout-flow wp-block-column-is-layout-flow\" style=\"flex-basis:66.66%\">\n<p>Liebe Leserinnen und Leser,<\/p>\n<p>der SAP Security Patch Day am 12. Dezember 2023 brachte siebzehn neue und aktualisierte Sicherheitspatches, darunter vier HotNews-Notizen und vier Notizen mit hoher Priorit\u00e4t. Besonders hervorzuheben sind dabei zwei Updates, die sich auf eine kritische Schwachstelle zur Befehlsinjektion in IS-OIL beziehen, sowie ein wichtiger Patch f\u00fcr die SAP BTP Security Services Integration Libraries.<\/p>\n<\/div>\n\n\n\n<div class=\"wp-block-column is-layout-flow wp-block-column-is-layout-flow\" style=\"flex-basis:33.33%\">\n<figure class=\"wp-block-image size-full\"><a href=\"https:\/\/techltx.com\/wp-content\/uploads\/2023\/06\/sap-security-patchday.png\"><img loading=\"lazy\" decoding=\"async\" width=\"491\" height=\"155\" src=\"https:\/\/techltx.com\/wp-content\/uploads\/2023\/06\/sap-security-patchday.png\" alt=\"SAP Security Note Patch Day 2023-09  November\n\" class=\"wp-image-248\" srcset=\"https:\/\/techltx.com\/wp-content\/uploads\/2023\/06\/sap-security-patchday.png 491w, https:\/\/techltx.com\/wp-content\/uploads\/2023\/06\/sap-security-patchday-300x95.png 300w\" sizes=\"auto, (max-width: 491px) 100vw, 491px\" \/><\/a><\/figure>\n<\/div>\n<\/div>\n\n\n\n<h2 class=\"wp-block-heading\">Was ist jetzt auf der SAP Business Technology Platform (BTP) zu tun?<\/h2>\n\n\n\n<p>SAP hat k\u00fcrzlich einen wichtigen Sicherheitshinweis f\u00fcr die SAP Business Technology Platform (BTP) ver\u00f6ffentlicht. Dieser Hinweis behandelt ein kritisches Problem der Rechteausweitung innerhalb der SAP BTP Security Services Integration Libraries. Um m\u00f6gliche Ausnutzungen zu verhindern, werden spezifische Details der Schwachstelle nicht offen gelegt. Dennoch ist es essentiell, dass alle BTP-Nutzer diesen Hinweis pr\u00fcfen und entsprechende Ma\u00dfnahmen ergreifen. Der <strong>Sicherheitshinweis 3411067<\/strong> adressiert ein kritisches Problem der Rechteausweitung in den SAP BTP Security Services Integration Libraries. Verschiedene Programmiersprachen und Bibliotheksversionen sind betroffen, darunter Node.js, Java, Python und Golang. Auch bestimmte Versionen der Programmierinfrastruktur auf SAP BTP sind betroffen. Bei erfolgreicher Ausnutzung k\u00f6nnte ein unauthentifizierter Angreifer willk\u00fcrliche Berechtigungen innerhalb einer Anwendung erlangen. Die Sicherheitsl\u00fccke wurde in den neuesten Versionen der SAP BTP Security Services Integration Libraries behoben.<\/p>\n\n\n\n<p><strong>Schritte zur Behebung:<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Nutzer sollten alle vorhandenen Bibliotheksreferenzen auf die neueste Version aktualisieren.<\/li>\n\n\n\n<li>F\u00fcr verschiedene Programmierinfrastrukturen wie das Cloud Application Programming Model (CAP) und das SAP Java Buildpack gibt es spezifische Anweisungen zur Aktualisierung.<\/li>\n\n\n\n<li>Es gibt keine Workarounds; eine Aktualisierung ist unerl\u00e4sslich.<\/li>\n<\/ul>\n\n\n\n<p>Die Sicherheit der SAP BTP-Umgebungen ist eine gemeinsame Verantwortung. Durch die schnelle Reaktion auf Sicherheitshinweise wie den 3411067 tragen wir gemeinsam zu einer sichereren digitalen Landschaft bei. Es wird dringend empfohlen, diesen Sicherheitshinweis sorgf\u00e4ltig zu pr\u00fcfen und umgehend zu handeln.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Potenzielle Angriffsszenarien SAP BTP Security Service Integration<\/h2>\n\n\n\n<p>In einem hypothetischen Angriffsszenario, das sich aus den Informationen des SAP BTP Sicherheitshinweises 3411067 ableiten l\u00e4sst, k\u00f6nnten Angreifer die Schwachstelle in den SAP BTP Security Services Integration Libraries ausnutzen, um eine Rechteausweitung (Privilege Escalation) vorzunehmen. Hier ist ein detailliertes Szenario:<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">Schritt 1: Zugriff durch Ausnutzung der Schwachstelle<\/h4>\n\n\n\n<p>Ein Angreifer, der zun\u00e4chst keine Authentifizierung oder Berechtigung innerhalb der SAP BTP-Umgebung hat, nutzt die Sicherheitsl\u00fccke in einer der betroffenen Libraries (z.B. @sap\/xssec in Node.js oder com.sap.cloud.security in Java) aus. Dies k\u00f6nnte durch das Senden speziell konstruierter Anfragen an die Anwendung geschehen, die aufgrund der Schwachstelle die Sicherheitspr\u00fcfungen umgehen.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">Schritt 2: Erlangung erweiterter Berechtigungen<\/h4>\n\n\n\n<p>Nachdem der Eingriff erfolgreich war, k\u00f6nnte der Angreifer willk\u00fcrlich Berechtigungen innerhalb der Anwendung erlangen. Dies bedeutet, dass der Angreifer nun Aktionen ausf\u00fchren kann, die normalerweise streng regulierten und authentifizierten Nutzern vorbehalten sind. Beispielsweise k\u00f6nnten sie auf vertrauliche Daten zugreifen, Systemkonfigurationen \u00e4ndern oder sogar administrative Kontrollen \u00fcbernehmen.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">Schritt 3: Potenzielle Ausweitung des Angriffs<\/h4>\n\n\n\n<p>Mit erweiterten Berechtigungen k\u00f6nnte der Angreifer weitere Angriffsvektoren innerhalb des Unternehmensnetzwerks untersuchen. Sie k\u00f6nnten versuchen, sich seitw\u00e4rts zu bewegen, um Zugang zu anderen Systemen zu erhalten, oder weitere Sicherheitsl\u00fccken in der IT-Infrastruktur ausnutzen.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">Schritt 4: Datenexfiltration oder Sabotage<\/h4>\n\n\n\n<p>Der Angreifer k\u00f6nnte vertrauliche Unternehmensdaten entwenden oder manipulieren. In einem ernsteren Szenario k\u00f6nnten sie sogar Sabotage betreiben, indem sie kritische Gesch\u00e4ftsprozesse st\u00f6ren oder Systeme au\u00dfer Betrieb setzen.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">Pr\u00e4ventive Ma\u00dfnahmen<\/h4>\n\n\n\n<p>Um solche Szenarien zu verhindern, ist es unerl\u00e4sslich, dass Unternehmen die im Sicherheitshinweis 3411067 bereitgestellten Updates umgehend implementieren. Durch die Aktualisierung der betroffenen Libraries auf die neuesten Versionen k\u00f6nnen solche Angriffe verhindert werden.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">Fazit<\/h4>\n\n\n\n<p>Dieses Szenario unterstreicht die Wichtigkeit eines proaktiven Sicherheitsmanagements und der schnellen Reaktion auf Sicherheitshinweise. In der dynamischen Welt der Cyber-Sicherheit ist es entscheidend, stets wachsam zu bleiben und Systeme kontinuierlich auf dem neuesten Stand zu halten. Der Dezember Patch Day zeigt erneut, dass auch bei der Nutzung von Cloud-L\u00f6sungen wie SAP BTP eigene Sicherheits- und Patchprozesse unerl\u00e4sslich sind. Durch die zeitnahe Adressierung solcher Sicherheitshinweise wie #3411067 tragen wir gemeinsam zu einer sichereren und gesch\u00fctzteren digitalen Landschaft bei.<\/p>\n\n\n\n<p><strong>Ver\u00f6ffentlichte Sicherheitshinweise von SAP<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>SAP Note <a href=\"https:\/\/me.sap.com\/notes\/2622660\">2622660\u00a0 <\/a>| Security updates for the browser control Google Chromium delivered with SAP Business Client &#8211; 43rd Update <\/li>\n\n\n\n<li>SAP Note <a href=\"https:\/\/me.sap.com\/notes\/3411067\">3411067\u00a0 <\/a>| [Multiple CVEs] Escalation of Privileges in SAP Business Technology Platform (BTP) Security Services Integration Libraries<\/li>\n\n\n\n<li>SAP Note <a href=\"https:\/\/me.sap.com\/notes\/3399691\">3399691\u00a0<\/a>|  Update 1 to 3350297 &#8211; [CVE-2023-36922] OS command injection vulnerability in SAP ECC and SAP S\/4HANA (IS-OIL)<\/li>\n\n\n\n<li>SAP Note <a href=\"https:\/\/me.sap.com\/notes\/3350297\">3350297\u00a0<\/a>| [CVE-2023-36922] OS command injection vulnerability in SAP ECC and SAP S\/4HANA (IS-OIL) <\/li>\n\n\n\n<li>SAP Note <a href=\"https:\/\/me.sap.com\/notes\/3394567\">3394567\u00a0<\/a>| [CVE-2023-42481] Improper Access Control vulnerability in SAP Commerce Cloud<\/li>\n\n\n\n<li>SAP Note <a href=\"https:\/\/me.sap.com\/notes\/3382353\">3382353\u00a0\u00a0 <\/a>| [CVE-2023-42478] Cross site scripting vulnerability in SAP BusinessObjects Business Intelligence Platform <\/li>\n\n\n\n<li>SAP Note <a href=\"https:\/\/me.sap.com\/notes\/3385711\">3385711<\/a>\u00a0| [CVE-2023-49580] Information disclosure vulnerability in SAP GUI for WIndows and SAP GUI for Java<\/li>\n\n\n\n<li>SAP Note <a href=\"https:\/\/me.sap.com\/notes\/3406244\">3406244<\/a>\u00a0 | [CVE-2023-6542] Missing Authorization Check in SAP EMARSYS SDK ANDROID <\/li>\n\n\n\n<li>SAP Note <a href=\"https:\/\/me.sap.com\/notes\/3369353\">3369353<\/a>\u00a0 | [CVE-2023-42476] Cross Site Scripting vulnerability in SAP BusinessObjects Web Intelligence<\/li>\n\n\n\n<li>SAP Note <a href=\"https:\/\/me.sap.com\/notes\/3395306\">3395306\u00a0<\/a>| [CVE-2023-49587] Command Injection vulnerability in SAP Solution Manager<\/li>\n\n\n\n<li>SAP Note <a href=\"https:\/\/me.sap.com\/notes\/3383321\">3383321\u00a0<\/a>| [CVE-2023-42479] Cross-Site Scripting (XSS) vulnerability in SAP Biller Direct<\/li>\n\n\n\n<li>SAP Note <a href=\"https:\/\/me.sap.com\/notes\/3217087\">3217087\u00a0<\/a>| [CVE-2023-49577] Cross-Site Scripting (XSS) vulnerability in the SAP HCM (SMART PAYE solution)<\/li>\n\n\n\n<li>SAP Note <a href=\"https:\/\/me.sap.com\/notes\/3159329\">3159329\u00a0<\/a>| Denial of service (DoS) vulnerability in JSZip library bundled within SAPUI5<\/li>\n\n\n\n<li>SAP Note <a href=\"https:\/\/me.sap.com\/notes\/3406786\">3406786\u00a0<\/a>| [CVE-2023-49584] Client-Side Desynchronization vulnerability in SAP Fiori Launchpad<\/li>\n\n\n\n<li>SAP Note <a href=\"https:\/\/me.sap.com\/notes\/3392547\">3392547\u00a0<\/a>| [CVE-2023-49581] SQL Injection vulnerability in SAP NetWeaver Application Server ABAP and ABAP Platform<\/li>\n\n\n\n<li>SAP Note <a href=\"https:\/\/me.sap.com\/notes\/3363690\">3363690\u00a0<\/a>| [CVE-2023-49058] Directory Traversal vulnerability in SAP Master Data Governance<\/li>\n\n\n\n<li>SAP Note <a href=\"https:\/\/me.sap.com\/notes\/3362463\">3362463\u00a0<\/a>| [CVE-2023-49578] Denial of service (DOS) in SAP Cloud Connector<\/li>\n<\/ul>\n\n\n\n<p><strong>Es ist immer wichtig, stets wachsam zu bleiben und sicherzustellen, dass Ihr SAP-System auf dem neuesten Stand ist. Das fr\u00fchzeitige und konsequente Anwenden von Sicherheitspatches sch\u00fctzt nicht nur Ihre Daten, sondern auch die Integrit\u00e4t Ihres gesamten Unternehmens.<\/strong><\/p>\n\n\n\n<p><strong>Bleiben Sie sicher und halten Sie Ihr System auf dem neuesten <a href=\"https:\/\/dam.sap.com\/mac\/app\/e\/pdf\/preview\/embed\/ucQrx6G?ltr=a&#038;rc=10\">Stand<\/a>!<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"<p>SAP Security Notes Patch Day Dezember 2023 Dieser Artikel ist eine Zusammenfassung \u00fcber die Inhalte und aktuellen Schwachstellen f\u00fcr SAP Systeme. SAP hat am 12.12.2023 neue Sicherheitshinweise und  Aktualisierungen ver\u00f6ffentlicht.  <\/p>\n<p>SAP BTP Sicherheitsl\u00fccke: Eine Schwachstelle in den SAP BTP Security Services Integration Libraries kann zu einer kritischen Eskalation von Privilegien f\u00fchren.<\/p>\n<p>IS-OIL OS Command Injection:** Zwei der vier HotNews-Notizen sind Updates zu einer kritischen OS Command Injection-Schwachstelle in IS-OIL, gemeldet von Onapsis Research Labs. Die SAP Security Note #3350297, mit einem CVSS-Score von 9.1, wurde zun\u00e4chst im Juli 2023 ver\u00f6ffentlicht und nun mit der neuen HotNews Note #3399691 aktualisiert. Beide Notizen betonen, dass die entsprechenden Patches nur dann angewendet werden d\u00fcrfen, wenn IS-OIL aktiviert ist, um schwerwiegende Systeminkonsistenzen zu vermeiden.<\/p>\n<p>Update f\u00fcr SAP Business Client: Die regelm\u00e4\u00dfig wiederkehrende SAP Security Note #2622660 bietet ein Update f\u00fcr den SAP Business Client, einschlie\u00dflich der neuesten unterst\u00fctzten Chromium-Patches. Der SAP Business Client unterst\u00fctzt nun die Chromium-Version 119.0.6045.159, die insgesamt vierundvierzig Schwachstellen behebt, darunter drei kritische und siebzehn mit hoher Priorit\u00e4t. Der h\u00f6chste CVSS-Wert aller behobenen Schwachstellen im Kontext des SAP Business Client betr\u00e4gt 8.8.<\/p>\n<p>SAP Fiori Launchpad: Die SAP Security Note #3406786 adressiert eine Client-Side Desynchronization-Schwachstelle im SAP Fiori Launchpad (CVSS-Score: 4.3). Ein authentifizierter Benutzer konnte den HTTP-Verb POST auf einen nur-lesen-Dienst verwenden, was sich geringf\u00fcgig auf die Vertraulichkeit der Anwendung auswirkt. Die L\u00f6sung besteht darin, dass der Dienst nur noch GET-Anfragen akzeptiert und die Verbindung bei anderen HTTP-Verben schlie\u00dft.<\/p>\n<p>SAP NetWeaver Application Server ABAP und ABAP Platform: Die SAP Security Note #3392547 behandelt eine SQL-Injection-Schwachstelle. Ein b\u00f6sartiger Benutzer mit Entwickler- oder Datenbankadministrationsrechten k\u00f6nnte ein SQL-Injection durchf\u00fchren, was zu nicht-sensitiven Datenbankmetadaten\u00e4nderungen f\u00fchren kann. Die L\u00f6sung besteht darin, eine korrekte Eingabekodierung zu implementieren, um die Eingabe g\u00fcltiger SQL-Anweisungen zu verhindern<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"content-type":"","_uag_custom_page_level_css":"","site-sidebar-layout":"right-sidebar","site-content-layout":"","ast-site-content-layout":"normal-width-container","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"set","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[5,11],"tags":[65,64,68,66,67],"class_list":["post-770","post","type-post","status-publish","format-standard","hentry","category-sap","category-sap-security-patch-day","tag-is-oil-command-injection","tag-sap-btp-security-vulnerability","tag-sap-business-client-chromium-update","tag-sap-fiori-launchpad-desynchronization","tag-sap-netweaver-sql-injection"],"uagb_featured_image_src":{"full":false,"thumbnail":false,"medium":false,"medium_large":false,"large":false,"1536x1536":false,"2048x2048":false},"uagb_author_info":{"display_name":"BALTX","author_link":"https:\/\/techltx.com\/de\/author\/baltx-com\/"},"uagb_comment_info":0,"uagb_excerpt":"SAP Security Notes Patch Day Dezember 2023 Dieser Artikel ist eine Zusammenfassung \u00fcber die Inhalte und aktuellen Schwachstellen f\u00fcr SAP Systeme. SAP hat am 12.12.2023 neue Sicherheitshinweise und Aktualisierungen ver\u00f6ffentlicht. SAP BTP Sicherheitsl\u00fccke: Eine Schwachstelle in den SAP BTP Security Services Integration Libraries kann zu einer kritischen Eskalation von Privilegien f\u00fchren. IS-OIL OS Command Injection:**&hellip;","_links":{"self":[{"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/posts\/770","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/comments?post=770"}],"version-history":[{"count":13,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/posts\/770\/revisions"}],"predecessor-version":[{"id":791,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/posts\/770\/revisions\/791"}],"wp:attachment":[{"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/media?parent=770"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/categories?post=770"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/tags?post=770"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}