{"id":864,"date":"2024-02-13T19:57:31","date_gmt":"2024-02-13T17:57:31","guid":{"rendered":"https:\/\/techltx.com\/de\/?p=864"},"modified":"2024-04-14T20:07:37","modified_gmt":"2024-04-14T17:07:37","slug":"sap-security-patchday-januar-2024-sap-business-application-studio-webide-und-integration-cell","status":"publish","type":"post","link":"https:\/\/techltx.com\/de\/sap\/sap-security-patchday-januar-2024-sap-business-application-studio-webide-und-integration-cell\/2024\/02\/","title":{"rendered":"SAP Security Patchday Februar 2024 |  AS ABAP und AS JAVA + SAP Cloud Connector Update"},"content":{"rendered":"\n<div class=\"wp-block-columns is-layout-flex wp-container-core-columns-is-layout-28f84493 wp-block-columns-is-layout-flex\">\n<div class=\"wp-block-column is-layout-flow wp-block-column-is-layout-flow\" style=\"flex-basis:66.66%\">\n<p>Liebe Leserinnen und Leser,<\/p>\n<p>im 13. Februar 2024 ver\u00f6ffentlichte der SAP Security Patchday insgesamt 13 neue Sicherheitshinweise und aktualisierte weitere 3 Notizen aus fr\u00fcheren Patchdays. Diese Updates sind essentiell f\u00fcr alle SAP-Basisexperten, die noch nicht vollst\u00e4ndig auf die SAP Cloud umgestiegen sind, um die Sicherheit und Integrit\u00e4t ihrer Systeme zu gew\u00e4hrleisten. In diesem Blogbeitrag werfen wir einen Blick auf die wichtigsten Patches des Tages, ihre Bedeutung f\u00fcr die Sicherheit Ihrer Systeme und geben praktische Tipps, wie Sie die neuesten Updates effektiv implementieren k\u00f6nnen.<\/p>\n<\/div>\n\n\n\n<div class=\"wp-block-column is-layout-flow wp-block-column-is-layout-flow\" style=\"flex-basis:33.33%\">\n<figure class=\"wp-block-image size-full\"><a href=\"https:\/\/techltx.com\/wp-content\/uploads\/2023\/06\/sap-security-patchday.png\"><img loading=\"lazy\" decoding=\"async\" width=\"491\" height=\"155\" src=\"https:\/\/techltx.com\/wp-content\/uploads\/2023\/06\/sap-security-patchday.png\" alt=\"SAP Security Note Patch Day 2023-09  November\n\" class=\"wp-image-248\" srcset=\"https:\/\/techltx.com\/wp-content\/uploads\/2023\/06\/sap-security-patchday.png 491w, https:\/\/techltx.com\/wp-content\/uploads\/2023\/06\/sap-security-patchday-300x95.png 300w\" sizes=\"auto, (max-width: 491px) 100vw, 491px\" \/><\/a><\/figure>\n<\/div>\n<\/div>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Sicherheitsupdates f\u00fcr Chromium im SAP Business Client<\/strong><\/h2>\n\n\n\n<p>Ein erneut ver\u00f6ffentlichtes Update behebt mehrere Schwachstellen in der Chromium-Engine, die im SAP Business Client verwendet wird. Dies stellt sicher, dass keine Sicherheitsl\u00fccken durch veraltete Browser-Komponenten entstehen (Hinweis 2622660).<\/p>\n\n\n\n<p><strong>Schritte zur Behebung:<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Jeder neue SAP Business Client-Patch enth\u00e4lt die aktuellste stabile Hauptversion der Chromium-Browsersteuerung, die die SAP-internen Qualit\u00e4tsmessungen des SAP Business Client bestanden hat. SAP empfiehlt, zus\u00e4tzliche Sicherheitsvorkehrungen zu treffen, wie in der SAP Business Client Dokumentation beschrieben: SAP Business Client -> SAP Business Client Administrationsleitfaden -> Sicherheitsaspekte -> Sicherheitseinstellungen f\u00fcr Browser Controls -> Chromium.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>XXE-Schwachstelle in SAP NetWeaver AS Java<\/strong><\/h2>\n\n\n\n<p>Ein erneut ver\u00f6ffentlichtes Update behebt mehrere Schwachstellen in der Chromium-Engine, die im SAP Business Client verwendet wird. Dies stellt sicher, dass keine Sicherheitsl\u00fccken durch veraltete Browser-Komponenten entstehen (Hinweis 2622660).<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Code Injection vulnerability in SAP ABA (Application Basis)<\/h2>\n\n\n\n<p>Der Patch adressiert eine kritische Sicherheitsl\u00fccke bei der Nutzung von OS-Level Zugriff auf NetWeaver-Systeme durch Benutzer mit umfassenden S_RFC-Berechtigungen. Diese Berechtigungen erm\u00f6glichen es Benutzern, aus jeder Anwendung heraus, die SAP-Bibliotheken nutzt (z.B. Microsoft Excel), potenziell sch\u00e4dliche Aktionen im SAP-System durchzuf\u00fchren. Die identifizierte Code Injection-Schwachstelle in der CA-SUR (&#8222;Web Survey&#8220;) Komponente der SAP-Basis von NetWeaver wurde mit einem CVSS-Score von 9.1\/10 bewertet und wird durch den Patch so behandelt, dass die Komponente standardm\u00e4\u00dfig nicht mehr remote erreichbar ist. Nur durch zus\u00e4tzliche Konfigurationsschritte kann diese Funktionalit\u00e4t wieder aktiviert werden. Dies soll das System sicherer machen, indem der Remote-Zugriff auf die Funktionsbausteine des CA-SUR-Pakets blockiert wird, es sei denn, es werden gezielte Anpassungen vorgenommen. Dieser Ansatz und die damit verbundenen Details finden sich im Sicherheitshinweis 3420923 \u2013 [CVE-2024-22131].  <\/p>\n\n\n\n<p>Implementieren Sie Support Package oder Korrekturanweisungen. Die L\u00f6sung implementiert eine &#8222;Secure-by-default&#8220;-Konfiguration. Daher m\u00fcssen Sie die Konfiguration anpassen, wenn Sie die Remote-F\u00e4higkeit der Komponente tats\u00e4chlich nutzen. Details und Empfehlungen zur Aktualisierung der Konfiguration finden Sie im zugeh\u00f6rigen Hinweis 3415038.<\/p>\n\n\n\n<p>Abhilfe: Bitte pr\u00fcfen Sie die Anwendbarkeit des Workarounds f\u00fcr Ihre SAP-Landschaft, bevor Sie ihn implementieren. Beachten Sie, dass es sich bei diesem Workaround um eine vor\u00fcbergehende L\u00f6sung handelt und nicht um eine dauerhafte L\u00f6sung. SAP empfiehlt dringend, die im Sicherheitshinweis beschriebenen Korrekturen vorzunehmen, die anstelle des Workarounds oder nach der Implementierung des Workarounds durchgef\u00fchrt werden k\u00f6nnen. \u00dcberpr\u00fcfen Sie Ihre Einstellungen zum Berechtigungsobjekt S_RFC und lassen Sie keine Aufrufe von Funktionsbausteinen von CA-SUR aus der Ferne zu. Beachten Sie, dass dieser Workaround die Remote-F\u00e4higkeit der Komponente deaktivieren w\u00fcrde.<\/p>\n\n\n\n<p><\/p>\n\n\n\n<p>Hier finden Sie die SAP Notes (sortiert nach dem CVSS-Rank)<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>SAP Note <a href=\"https:\/\/me.sap.com\/notes\/2622660\">2622660\u00a0 <\/a>| Component BC-FES-BUS-DSK | <strong>Update to Security Note released on April 2018 Patch Day:\u00a0 Security updates for the browser control Google Chromium delivered with SAP Business Client<\/strong>  <\/li>\n\n\n\n<li>SAP Note <a href=\"https:\/\/me.sap.com\/notes\/3420923\">3420923<\/a> | Component CA-SUR | [CVE-2024-22131] Code Injection vulnerability in SAP ABA (Application Basis)<\/li>\n\n\n\n<li>SAP Note  <a href=\"https:\/\/me.sap.com\/notes\/3417627\">3417627 <\/a>| Component BC-JAS-SEC-UME | 3417627 &#8211; [CVE-2024-22126] Cross Site Scripting vulnerability in NetWeaver AS Java (User Admin Application)<\/li>\n\n\n\n<li>SAP Note <a href=\"https:\/\/me.sap.com\/notes\/3426111\">3426111 <\/a>| \u00a0Component BC-GP | [CVE-2024-24743] XXE vulnerability in SAP NetWeaver AS Java (Guided Procedures)<\/li>\n\n\n\n<li>SAP Note <a href=\"https:\/\/me.sap.com\/notes\/3410875\">3410875 <\/a>| Component CA-WUI-UI | [CVE-2024-22130] Cross-Site Scripting (XSS) vulnerability in SAP CRM (WebClient UI)<\/li>\n\n\n\n<li>SAP Note <a href=\"https:\/\/me.sap.com\/notes\/3421659\">3421659 <\/a>| Component XX-IDES | [CVE-2024-22132] Code Injection vulnerability in SAP IDES Systems<\/li>\n\n\n\n<li>SAP Note <a href=\"https:\/\/me.sap.com\/notes\/3424610\">3424610 <\/a>| Component BC-MID-SCC |  [CVE-2024-25642] Improper Certificate Validation in SAP Cloud Connector<\/li>\n\n\n\n<li>SAP Note <a href=\"https:\/\/me.sap.com\/notes\/3385711\">3385711 <\/a>| Component BC-FES-WGU | [CVE-2023-49580] Information disclosure vulnerability in SAP NetWeaver Application Server ABAP<\/li>\n\n\n\n<li>SAP Note <a href=\"https:\/\/me.sap.com\/notes\/2637727\">2637727 <\/a>| Component FIN-FSCM-CLM | [CVE-2024-24739] Missing authorization check in SAP Bank Account Management<\/li>\n\n\n\n<li>SAP Note <a href=\"https:\/\/me.sap.com\/notes\/3404025\">3404025 <\/a>| Component KM-SN-CMP | [CVE-2024-22129] Cross-Site Scripting (XSS) vulnerability in SAP Companion<\/li>\n\n\n\n<li>SAP Note <a href=\"https:\/\/me.sap.com\/notes\/3360827\">3360827\u00a0 <\/a>| Component BC-FES-ITS | [CVE-2024-24740] Information Disclosure vulnerability in SAP NetWeaver Application Server ABAP (SAP Kernel)<\/li>\n\n\n\n<li>SAP Note <a href=\"https:\/\/me.sap.com\/notes\/3396109\">3396109 <\/a>| Component BC-FES-BUS | \u00a0[CVE-2024-22128] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Business Client for HTML<\/li>\n\n\n\n<li>SAP Note <a href=\"https:\/\/me.sap.com\/notes\/3237638\">3237638 <\/a>| Component PA-FIO-OVT | [CVE-2024-25643] Missing authorization check in SAP Fiori app (&#8222;My Overtime Requests&#8220;)<\/li>\n\n\n\n<li>SAP Note <a href=\"https:\/\/me.sap.com\/notes\/2897391\">2897391\u00a0<\/a>| Component CA-MDG-APP-MM | [CVE-2024-24741] Missing Authorization check in SAP Master Data Governance Material<\/li>\n\n\n\n<li>SAP Note <a href=\"https:\/\/me.sap.com\/notes\/3158455\">3158455<\/a> | Component CA-WUI-WKB | [CVE-2024-24742] Cross-Site Scripting (XSS) vulnerability in SAP CRM (WebClient UI)<\/li>\n\n\n\n<li>SAP Note <a href=\"https:\/\/me.sap.com\/notes\/3363690\">3363690 <\/a>|  Component CA-MDG-ML | \u00a0[CVE-2023-49058] Directory Traversal vulnerability in SAP Master Data Governance<\/li>\n<\/ul>\n\n\n\n<p><strong>Bleiben Sie sicher und halten Sie Ihr System auf dem neuesten <a href=\"https:\/\/dam.sap.com\/mac\/app\/e\/pdf\/preview\/embed\/ucQrx6G?ltr=a&#038;rc=10\" target=\"_blank\" rel=\"noreferrer noopener\">Stand<\/a>!<\/strong><\/p>\n\n\n\n<p><strong>Es ist immer wichtig, stets wachsam zu bleiben und sicherzustellen, dass Ihr SAP-System auf dem neuesten Stand ist. Das fr\u00fchzeitige und konsequente Anwenden von Sicherheitspatches sch\u00fctzt nicht nur Ihre Daten, sondern auch die Konsistenz und Integrit\u00e4t Ihres gesamten Unternehmens.<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"<p>SAP Security Notes Patch Day Februar 2024 Dieser Artikel ist eine Zusammenfassung \u00fcber die Inhalte und aktuellen Schwachstellen f\u00fcr SAP Systeme. SAP hat am 13.02.2024 neue Sicherheitshinweise und  Aktualisierungen ver\u00f6ffentlicht. Insgesamt wurden 13 neue Sicherheitsnotizen und drei Updates zu fr\u00fcheren SAP Notes herausgegeben.<\/p>\n<p>Aufgrund der unsachgem\u00e4\u00dfen Validierung des Zertifikats in SAP Cloud Connector kann sich ein Angreifer als echter Server ausgeben, um mit SCC zu interagieren und die gegenseitige Authentifizierung zu umgehen. Daher kann der Angreifer die Anfrage abfangen, um sensible Informationen anzuzeigen\/zu \u00e4ndern.<\/p>\n<p>Grund und Voraussetzungen<br \/>\nDiese Schwachstelle ist eine Regression in Cloud Connector 2.15.0 bis 2.16.1<\/p>\n<p>L\u00f6sung<br \/>\nDie Korrektur f\u00fcgt die erforderliche Pr\u00fcfung erneut hinzu.<\/p>\n<p>Der Fix ist ab SAP Cloud Connector 2.16.2 verf\u00fcgbar. Sie k\u00f6nnen die korrigierte Version von https:\/\/tools.hana.ondemand.com\/#cloud herunterladen.<\/p>\n<p>Aktualisieren Sie Ihre bestehende Cloud Connector-Installation mit dieser heruntergeladenen Version gem\u00e4\u00df der Beschreibung auf https:\/\/help.sap.com\/docs\/connectivity\/sap-btp-connectivity-cf\/upgrade.<\/p>\n<p>Weitere Informationen zu Korrekturen und neuen Funktionen finden Sie unter https:\/\/help.sap.com\/whats-new\/cf0cb2cb149647329b5d02aa96303f56?Component=Connectivity.<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"content-type":"","_uag_custom_page_level_css":"","site-sidebar-layout":"right-sidebar","site-content-layout":"","ast-site-content-layout":"normal-width-container","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"set","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[37,5,11],"tags":[90,89,48,88,91],"class_list":["post-864","post","type-post","status-publish","format-standard","hentry","category-sap-hot-news","category-sap","category-sap-security-patch-day","tag-as-abap","tag-as-java","tag-chromium","tag-sap-application-basis","tag-sap-business-client"],"uagb_featured_image_src":{"full":false,"thumbnail":false,"medium":false,"medium_large":false,"large":false,"1536x1536":false,"2048x2048":false},"uagb_author_info":{"display_name":"BALTX","author_link":"https:\/\/techltx.com\/de\/author\/baltx-com\/"},"uagb_comment_info":4,"uagb_excerpt":"SAP Security Notes Patch Day Februar 2024 Dieser Artikel ist eine Zusammenfassung \u00fcber die Inhalte und aktuellen Schwachstellen f\u00fcr SAP Systeme. SAP hat am 13.02.2024 neue Sicherheitshinweise und Aktualisierungen ver\u00f6ffentlicht. Insgesamt wurden 13 neue Sicherheitsnotizen und drei Updates zu fr\u00fcheren SAP Notes herausgegeben. Aufgrund der unsachgem\u00e4\u00dfen Validierung des Zertifikats in SAP Cloud Connector kann sich&hellip;","_links":{"self":[{"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/posts\/864","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/comments?post=864"}],"version-history":[{"count":10,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/posts\/864\/revisions"}],"predecessor-version":[{"id":981,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/posts\/864\/revisions\/981"}],"wp:attachment":[{"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/media?parent=864"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/categories?post=864"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/tags?post=864"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}