{"id":849,"date":"2024-01-09T21:30:15","date_gmt":"2024-01-09T19:30:15","guid":{"rendered":"https:\/\/techltx.com\/de\/?p=849"},"modified":"2024-01-10T22:39:16","modified_gmt":"2024-01-10T20:39:16","slug":"sap-patchday-januar-2024-webide-business-application-studio","status":"publish","type":"post","link":"https:\/\/techltx.com\/de\/sap\/sap-patchday-januar-2024-webide-business-application-studio\/2024\/01\/","title":{"rendered":"SAP Security Patchday Januar 2024 | SAP Business Application Studio, WebIDE und Integration Cell\u00a0"},"content":{"rendered":"\n<div class=\"wp-block-columns is-layout-flex wp-container-core-columns-is-layout-28f84493 wp-block-columns-is-layout-flex\">\n<div class=\"wp-block-column is-layout-flow wp-block-column-is-layout-flow\" style=\"flex-basis:66.66%\">\n<p>Liebe Leserinnen und Leser,<\/p>\n<p>im Januar 2024 hat SAP auf seinem Security Patch Day wichtige Sicherheitsupdates ver\u00f6ffentlicht. Insgesamt wurden zehn neue Sicherheitsnotizen und zwei Updates zu fr\u00fcheren SAP Notes herausgegeben. Besondere Aufmerksamkeit erfordern die Schwachstellen in den BTP Security Services, die im Dezember entdeckt wurden.<\/p>\n<\/div>\n\n\n\n<div class=\"wp-block-column is-layout-flow wp-block-column-is-layout-flow\" style=\"flex-basis:33.33%\">\n<figure class=\"wp-block-image size-full\"><a href=\"https:\/\/techltx.com\/wp-content\/uploads\/2023\/06\/sap-security-patchday.png\"><img loading=\"lazy\" decoding=\"async\" width=\"491\" height=\"155\" src=\"https:\/\/techltx.com\/wp-content\/uploads\/2023\/06\/sap-security-patchday.png\" alt=\"SAP Security Note Patch Day 2023-09  November\n\" class=\"wp-image-248\" srcset=\"https:\/\/techltx.com\/wp-content\/uploads\/2023\/06\/sap-security-patchday.png 491w, https:\/\/techltx.com\/wp-content\/uploads\/2023\/06\/sap-security-patchday-300x95.png 300w\" sizes=\"auto, (max-width: 491px) 100vw, 491px\" \/><\/a><\/figure>\n<\/div>\n<\/div>\n\n\n\n<h2 class=\"wp-block-heading\">Analyse von sap\/approuter und sap\/xssec<\/h2>\n\n\n\n<p>Ein zentrales Thema ist die im Dezember identifizierte Schwachstelle in den SAP BTP Security Services Integration Libraries, die durch die Sicherheitsnotiz <a href=\"https:\/\/me.sap.com\/notes\/3411067\/D\">3411067 <\/a>angesprochen wird. Diese Schwachstelle erm\u00f6glicht es nicht-authentifizierten Angreifern, ihre Rechte zu erh\u00f6hen. Betroffen sind Anwendungen, die in Node.js, Java, Python und Golang entwickelt wurden. Im Januar-Update wurden zus\u00e4tzliche Details und ein FAQ zur Sicherheitsnotiz ver\u00f6ffentlicht. Eine \u00e4hnliche Schwachstelle, ebenfalls mit einem CVSS-Score von 9.1\/10, betrifft Plattformen wie SAP Business Application Studio, SAP Web IDE Full-Stack und SAP Web IDE for SAP HANA. Die L\u00f6sung f\u00fcr beide Probleme beinhaltet die Aktualisierung der Abh\u00e4ngigkeiten zu @sap\/approuter und @sap\/xssec. Details dazu finden Sie in der Sicherheitsnotiz 3412456.<\/p>\n\n\n\n<p><strong>Schritte zur Behebung:<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Stellen Sie sicher, dass Sie die node.js-Anwendungsabh\u00e4ngigkeiten mit den neuesten Versionen der Bibliotheken&nbsp;<a href=\"https:\/\/www.npmjs.com\/package\/@sap\/approuter\" target=\"_blank\" rel=\"noreferrer noopener\">@sap\/approuter<\/a>&nbsp;und&nbsp;<a href=\"https:\/\/www.npmjs.com\/package\/@sap\/xssec\" target=\"_blank\" rel=\"noreferrer noopener\">@sap\/xssec<\/a>&nbsp;aktualisieren.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Rechteausweitung SAP Edge Integration Cell<\/h2>\n\n\n\n<p id=\"__html28\">Unter bestimmten Bedingungen erm\u00f6glicht SAP Edge Integration Cell, das von Integrationsbibliotheken und Programmierinfrastrukturen von SAP BTP Security Services abh\u00e4ngt, eine Rechteausweitung aufgrund von&nbsp;<a href=\"https:\/\/www.cve.org\/CVERecord?id=CVE-2023-49583\" target=\"_blank\" rel=\"noreferrer noopener\">CVE-2023-49583<\/a>&nbsp;und&nbsp;<a href=\"https:\/\/www.cve.org\/CVERecord?id=CVE-2023-50422\" target=\"_blank\" rel=\"noreferrer noopener\">CVE-2023-50422<\/a>. Nach erfolgreicher Ausnutzung kann ein nicht authentifizierter Angreifer beliebige Berechtigungen innerhalb der Anwendung erhalten. <\/p>\n\n\n\n<p>In Version 8.9.13 von SAP Edge Integration Cell ist das Problem behoben. Um das Problem auch bei Ihnen zu beheben, aktualisieren Sie Ihre Edge-Integration-Cell-L\u00f6sung auf die neueste Version.<\/p>\n\n\n\n<p>Detaillierte Anweisungen zum Upgrade Ihrer L\u00f6sung finden Sie in unserem&nbsp;<a href=\"https:\/\/help.sap.com\/docs\/integration-suite\/sap-integration-suite\/upgrade-edge-integration-cell-solution?version=CLOUD\" target=\"_blank\" rel=\"noreferrer noopener\">Upgrade-Leitfaden<\/a>.<\/p>\n\n\n\n<p><strong>Verfahren<\/strong><\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li>\u00d6ffnen Sie die Edge Lifecycle Management-Benutzeroberfl\u00e4che.<\/li>\n\n\n\n<li>Gehen Sie zur Registerkarte Edge-Knoten.<\/li>\n\n\n\n<li>W\u00e4hlen Sie den Edge-Knoten aus, auf dem Sie die Version aktualisieren m\u00f6chten.<\/li>\n\n\n\n<li>W\u00e4hlen Sie im Kontextmen\u00fc \u201eVorg\u00e4nge\u201c die L\u00f6sung \u201eEdge Integration Cell\u201c und dann \u201eUpgrade\u201c aus<\/li>\n\n\n\n<li>Klicken Sie auf Upgrade.  Die L\u00f6sung wird auf Basis der neuen Version aktualisiert.<\/li>\n<\/ol>\n\n\n\n<p><strong>Ver\u00f6ffentlichte Sicherheitshinweise von SAP<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>SAP Note <a href=\"https:\/\/me.sap.com\/notes\/3413475\">3413475 <\/a>| [Multiple CVEs] Escalation of Privileges in SAP Edge Integration Cell<\/li>\n\n\n\n<li>SAP Note <a href=\"https:\/\/me.sap.com\/notes\/3412456\">3412456 <\/a>| [CVE-2023-49583] Escalation of Privileges in applications developed through SAP Business Application Studio, SAP Web IDE Full-Stack and SAP Web IDE for SAP HANA<\/li>\n\n\n\n<li>SAP Note <a href=\"https:\/\/me.sap.com\/notes\/3411067\">3411067 <\/a>| [Multiple CVEs] Escalation of Privileges in SAP Business Technology Platform (BTP) Security Services Integration Libraries<\/li>\n\n\n\n<li>SAP Note 3411869 | [CVE-2024-21737] Code Injection vulnerability in SAP Application Interface Framework (File Adapter)<\/li>\n\n\n\n<li>SAP Note <a href=\"https:\/\/me.sap.com\/notes\/3411869\">3389917 <\/a>| [CVE-2023-44487] Denial of service (DOS) in SAP Web Dispatcher, SAP NetWeaver Application server ABAP, and ABAP Platform<\/li>\n\n\n\n<li>SAP Note <a href=\"https:\/\/me.sap.com\/notes\/3386378\">3386378 <\/a>| [CVE-2024-22125] Information Disclosure vulnerability in Microsoft Edge browser extension (SAP GUI connector for Microsoft Edge)<\/li>\n\n\n\n<li>SAP Note <a href=\"https:\/\/me.sap.com\/notes\/3407617\">3407617 <\/a>| [CVE-2024-21735] Improper Authorization check in SAP LT Replication Server<\/li>\n\n\n\n<li>SAP Note <a href=\"https:\/\/me.sap.com\/notes\/3260667\">3260667 <\/a>| [CVE-2024-21736] Missing Authorization check in SAP S\/4HANA Finance (Advanced Payment Management)<\/li>\n\n\n\n<li>SAP Note <a href=\"https:\/\/me.sap.com\/notes\/3324732\">3324732 <\/a>| [CVE-2023-31405] Log Injection vulnerability in SAP NetWeaver AS for Java (Log Viewer)<\/li>\n\n\n\n<li>SAP Note <a href=\"https:\/\/me.sap.com\/notes\/3392626\">3392626 <\/a>| [CVE-2024-22124] Information Disclosure vulnerability in SAP NetWeaver Internet Communication Manager<\/li>\n\n\n\n<li>SAP Note <a href=\"https:\/\/me.sap.com\/notes\/3387737\">3387737 <\/a>| [CVE-2024-21738] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver ABAP Application Server and ABAP Platform<\/li>\n\n\n\n<li>SAP Note <a href=\"https:\/\/me.sap.com\/notes\/3190894\">3190894 <\/a>| [CVE-2024-21734] URL Redirection vulnerability in SAP Marketing (Contacts App)<\/li>\n<\/ul>\n\n\n\n<p><strong>Es ist immer wichtig, stets wachsam zu bleiben und sicherzustellen, dass Ihr SAP-System auf dem neuesten Stand ist. Das fr\u00fchzeitige und konsequente Anwenden von Sicherheitspatches sch\u00fctzt nicht nur Ihre Daten, sondern auch die Konsistenz und Integrit\u00e4t Ihres gesamten Unternehmens.<\/strong><\/p>\n\n\n\n<p><strong>Bleiben Sie sicher und halten Sie Ihr System auf dem neuesten <a href=\"https:\/\/dam.sap.com\/mac\/app\/e\/pdf\/preview\/embed\/ucQrx6G?ltr=a&#038;rc=10\" target=\"_blank\" rel=\"noreferrer noopener\">Stand<\/a>!<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"<p>SAP Security Notes Patch Day Januar 2024 Dieser Artikel ist eine Zusammenfassung \u00fcber die Inhalte und aktuellen Schwachstellen f\u00fcr SAP Systeme. SAP hat am 09.01.2024 neue Sicherheitshinweise und  Aktualisierungen ver\u00f6ffentlicht. Insgesamt wurden zehn neue Sicherheitsnotizen und zwei Updates zu fr\u00fcheren SAP Notes herausgegeben.<\/p>\n<p>Ein zentrales Thema ist die im Dezember identifizierte Schwachstelle in den SAP BTP Security Services Integration Libraries, die durch die Sicherheitsnotiz 3411067 angesprochen wird. Diese Schwachstelle erm\u00f6glicht es nicht-authentifizierten Angreifern, ihre Rechte zu erh\u00f6hen. Betroffen sind Anwendungen, die in Node.js, Java, Python und Golang entwickelt wurden. Im Januar-Update wurden zus\u00e4tzliche Details und ein FAQ zur Sicherheitsnotiz ver\u00f6ffentlicht. Eine \u00e4hnliche Schwachstelle, ebenfalls mit einem CVSS-Score von 9.1\/10, betrifft Plattformen wie SAP Business Application Studio, SAP Web IDE Full-Stack und SAP Web IDE for SAP HANA. Die L\u00f6sung f\u00fcr beide Probleme beinhaltet die Aktualisierung der Abh\u00e4ngigkeiten zu @sap\/approuter und @sap\/xssec. Details dazu finden Sie in der Sicherheitsnotiz 3412456.<\/p>\n<p>Unter bestimmten Bedingungen erm\u00f6glicht SAP Edge Integration Cell, das von Integrationsbibliotheken und Programmierinfrastrukturen von SAP BTP Security Services abh\u00e4ngt, eine Rechteausweitung aufgrund von\u00a0CVE-2023-49583\u00a0und\u00a0CVE-2023-50422. Nach erfolgreicher Ausnutzung kann ein nicht authentifizierter Angreifer beliebige Berechtigungen innerhalb der Anwendung erhalten. In Version 8.9.13 von SAP Edge Integration Cell ist das Problem behoben. Um das Problem auch bei Ihnen zu beheben, aktualisieren Sie Ihre Edge-Integration-Cell-L\u00f6sung auf die neueste Version.<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"content-type":"","_uag_custom_page_level_css":"","site-sidebar-layout":"right-sidebar","site-content-layout":"","ast-site-content-layout":"normal-width-container","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"set","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[5,11],"tags":[72,74,75,69,70,71,76,73,24,12,7],"class_list":["post-849","post","type-post","status-publish","format-standard","hentry","category-sap","category-sap-security-patch-day","tag-aif","tag-microsoftedge","tag-s-4finance","tag-sap-approuter","tag-sap-xssec","tag-sapedgeintegrationcell","tag-sapsecurity","tag-webdispatcher","tag-netweaver","tag-patchday","tag-sap"],"uagb_featured_image_src":{"full":false,"thumbnail":false,"medium":false,"medium_large":false,"large":false,"1536x1536":false,"2048x2048":false},"uagb_author_info":{"display_name":"BALTX","author_link":"https:\/\/techltx.com\/de\/author\/baltx-com\/"},"uagb_comment_info":0,"uagb_excerpt":"SAP Security Notes Patch Day Januar 2024 Dieser Artikel ist eine Zusammenfassung \u00fcber die Inhalte und aktuellen Schwachstellen f\u00fcr SAP Systeme. SAP hat am 09.01.2024 neue Sicherheitshinweise und Aktualisierungen ver\u00f6ffentlicht. Insgesamt wurden zehn neue Sicherheitsnotizen und zwei Updates zu fr\u00fcheren SAP Notes herausgegeben. Ein zentrales Thema ist die im Dezember identifizierte Schwachstelle in den SAP&hellip;","_links":{"self":[{"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/posts\/849","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/comments?post=849"}],"version-history":[{"count":7,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/posts\/849\/revisions"}],"predecessor-version":[{"id":862,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/posts\/849\/revisions\/862"}],"wp:attachment":[{"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/media?parent=849"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/categories?post=849"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/tags?post=849"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}