SAP Security Patch Day

Sammlung von SAP Notes zu den monatlichen SAP Security Patchdays

SAP Security Patchday Mai 2024 | Customer Experience (CX) SAP_BASIS NetWeaver Application Server ABAP

Leave a Comment / SAP, SAP Security Patch Day / By

Am 14. Mai 2024 veröffentlichte SAP 14 neue Sicherheitshinweise und aktualisierte 3 bereits bestehende Hinweise. Diese Hinweise behandeln Schwachstellen in verschiedenen SAP-Produkten, die dringend behoben werden sollten.

Ein besonders kritischer Sicherheitshinweis betrifft SAP Customer Experience (CX) mit einem CVSS-Wert von 9,8. In CX Commerce wurden zwei Schwachstellen identifiziert. Die erste ist eine CSS Injection Schwachstelle, die es Angreifern ermöglicht, die Relative Path Overwrite (RPO)-Technik in CSS-basierten Eingabefeldern zu nutzen, was hohe Risiken für die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung darstellt. Die zweite Schwachstelle betrifft eine unsachgemäße Initialisierung in SAP CX Commerce, das Apache Calcite Avatica 1.18.0 verwendet. Diese Schwachstelle kann zur Remote Code Execution führen, da der JDBC-Treiber HTTP-Client-Instanzen basierend auf unüberprüften Klassennamen erstellt, was zur Ausführung von beliebigem Code führen kann.

Die betroffene Version von CX Commerce verwendet Swagger UI vor Version 3.23.11 und Apache Calcite Avatica vor Version 1.22.0. Die einzige Test-Erweiterung, die Swagger UI 3.20.1 verwendet, wurde vollständig entfernt und Avatica-core wurde durch ein Update von Solr auf 8.11.3 auf Version 1.23.0 aktualisiert. Der Fix für beide Bibliotheken ist im neuesten Patch, SAP Commerce Cloud Patch Release 2205.24, verfügbar.

Ein weiterer wichtiger Hinweis betrifft den SAP_BASIS NetWeaver Application Server ABAP mit einem CVSS-Wert von 9,6. Hier kann ein nicht authentifizierter Angreifer eine bösartige Datei hochladen, die bei Zugriff durch ein Opfer das System vollständig kompromittieren kann. Betroffen sind die Inhaltsrepositories “FILESYSTEM” und “SOMU_DB”, die mit der Option “Keine Signatur” konfiguriert sind. Die Korrektur implementiert eine sichere Standardkonfiguration. Diese Konfiguration gilt jedoch nur für Neuinstallationen. Nach einem Update müssen Administratoren die Änderungen manuell vornehmen. Es wird dringend empfohlen, die im Sicherheitshinweis beschriebenen Korrekturen anzuwenden.

Ein weiterer Sicherheitshinweis betrifft die SAP Business Objects Business Intelligence Platform, die anfällig für Stored XSS (Cross-Site Scripting) ist. Diese Schwachstelle ermöglicht es Angreifern, Parameter in der Opendocument-URL zu manipulieren, was erhebliche Beeinträchtigungen der Vertraulichkeit und Integrität der Anwendung zur Folge haben kann. Die benutzerdefinierten Eingabeparameter in der Opendocument-URL wurden bereinigt. Es wird empfohlen, die genannten Support Packages und Patches zu implementieren.

SAP Security Patchday Mai 2024 | Customer Experience (CX) SAP_BASIS NetWeaver Application Server ABAP Read More »

SAP Security Patchday April 2024 | Vulnerabilities AS JAVA User Management Directory Traversal

Leave a Comment / SAP, SAP Security Patch Day / By

SAP Security Notes Patch Day April 2024 Dieser Artikel ist eine Zusammenfassung über die Inhalte und aktuellen Schwachstellen für SAP Systeme. SAP hat am 09. April 2024 neue Sicherheitshinweise und Aktualisierungen veröffentlicht.

Die Sicherheitslücke in der Useradministration für AS JAVA betrifft die Module „Self-Registration“ und „Modify your own profile“ der User Admin-App von NetWeaver AS Java. Diese sind ohne den entsprechenden Patch angreifbar, da es bisher keine besonderen Sicherheitsanforderungen an den Inhalt der Sicherheitsfragen gibt – also den Antworten, die Benutzer selbst konfigurieren können.

Die Schwachstelle wird mit einem hohen Einfluss auf die Vertraulichkeit und einem CVSS-Score von 8.8 bewertet. Nach dem Patch werden die Sicherheitsantworten wie Passwörter behandelt und mindestens gehasht, wobei Groß-/Kleinschreibung nicht berücksichtigt wird.

Als temporärer Workaround kann die Deaktivierung der „Self-Registration“ und „Modify your own profile“-Funktionen dienen, sofern diese überhaupt aktiviert waren. Weitere Details finden sich in der Security Note 3434839 – [CVE-2024-27899] zur Fehlkonfiguration der Sicherheit in der SAP NetWeaver AS Java User Management Engine.

SAP Security Patchday April 2024 | Vulnerabilities AS JAVA User Management Directory Traversal Read More »

SAP Security Patchday März 2024 | LogViewer, BuildApps und Business Client Chromium

Leave a Comment / SAP Hot News, SAP, SAP Security Patch Day / By

SAP Security Notes Patch Day März 2024 Dieser Artikel ist eine Zusammenfassung über die Inhalte und aktuellen Schwachstellen für SAP Systeme. SAP hat am 12.03.2024 neue Sicherheitshinweise und Aktualisierungen veröffentlicht.

wie ein Uhrwerk, pünktlich am zweiten Dienstag des Monats, rollte SAP am 12. März 2024 seinen Security Patchday aus. Dieses Mal wurden zehn neue Sicherheitshinweise veröffentlicht, inklusive zwei Updates zu vorherigen Patchdays, die das kontinuierliche Engagement von SAP für die Sicherheit seiner Systeme und Anwendungen unterstreichen. Besonders brisant: Unter den Updates befinden sich drei „Hot News“-Hinweise, die Sicherheitslücken mit einem Risiko-Score (CVSS) von über 9.0 betreffen. In diesem Artikel werden wir tiefer in die Details dieser Hinweise eintauchen, die Implikationen für SAP Build Apps und die Verantwortlichkeiten der AS Java Administratoren beleuchten. Wir diskutieren auch, welche Maßnahmen Unternehmen ergreifen sollten, um sich gegen diese und zukünftige Schwachstellen zu schützen. Eine neu identifizierte Schwachstelle im SAP NetWeaver AS Java, speziell im Administrator Log Viewer Plug-in, kennzeichnet durch die CVE-2024-22127, stellt eine erhebliche Bedrohung dar. Diese Schwachstelle ermöglicht es einem Angreifer mit hohen Privilegien, potenziell gefährliche Dateien hochzuladen, was zu einer Command Injection führen kann. Die Auswirkungen dieser Sicherheitslücke sind gravierend, da sie die Vertraulichkeit, Integrität und Verfügbarkeit der betroffenen Anwendungen hochgradig beeinträchtigen kann. Dieser Artikel wird nicht nur die technischen Details dieser spezifischen Bedrohung erörtern, sondern auch die notwendigen Schritte zur Absicherung Ihres Systems beleuchten, einschließlich der Anwendung der von SAP bereitgestellten Sicherheitsnote und der Konfiguration von Virenscan-Profilen als zusätzliche Sicherheitsmaßnahme.

SAP Security Patchday März 2024 | LogViewer, BuildApps und Business Client Chromium Read More »

SAP Security Patchday Februar 2024 | AS ABAP und AS JAVA + SAP Cloud Connector Update

Leave a Comment / SAP Hot News, SAP, SAP Security Patch Day / By

SAP Security Notes Patch Day Februar 2024 Dieser Artikel ist eine Zusammenfassung über die Inhalte und aktuellen Schwachstellen für SAP Systeme. SAP hat am 13.02.2024 neue Sicherheitshinweise und Aktualisierungen veröffentlicht. Insgesamt wurden 13 neue Sicherheitsnotizen und drei Updates zu früheren SAP Notes herausgegeben.

Aufgrund der unsachgemäßen Validierung des Zertifikats in SAP Cloud Connector kann sich ein Angreifer als echter Server ausgeben, um mit SCC zu interagieren und die gegenseitige Authentifizierung zu umgehen. Daher kann der Angreifer die Anfrage abfangen, um sensible Informationen anzuzeigen/zu ändern.

Grund und Voraussetzungen
Diese Schwachstelle ist eine Regression in Cloud Connector 2.15.0 bis 2.16.1

Lösung
Die Korrektur fügt die erforderliche Prüfung erneut hinzu.

Der Fix ist ab SAP Cloud Connector 2.16.2 verfügbar. Sie können die korrigierte Version von https://tools.hana.ondemand.com/#cloud herunterladen.

Aktualisieren Sie Ihre bestehende Cloud Connector-Installation mit dieser heruntergeladenen Version gemäß der Beschreibung auf https://help.sap.com/docs/connectivity/sap-btp-connectivity-cf/upgrade.

Weitere Informationen zu Korrekturen und neuen Funktionen finden Sie unter https://help.sap.com/whats-new/cf0cb2cb149647329b5d02aa96303f56?Component=Connectivity.

SAP Security Patchday Februar 2024 | AS ABAP und AS JAVA + SAP Cloud Connector Update Read More »

SAP Security Patchday Januar 2024 | SAP Business Application Studio, WebIDE und Integration Cell 

Leave a Comment / SAP, SAP Security Patch Day / By

SAP Security Notes Patch Day Januar 2024 Dieser Artikel ist eine Zusammenfassung über die Inhalte und aktuellen Schwachstellen für SAP Systeme. SAP hat am 09.01.2024 neue Sicherheitshinweise und Aktualisierungen veröffentlicht. Insgesamt wurden zehn neue Sicherheitsnotizen und zwei Updates zu früheren SAP Notes herausgegeben.

Ein zentrales Thema ist die im Dezember identifizierte Schwachstelle in den SAP BTP Security Services Integration Libraries, die durch die Sicherheitsnotiz 3411067 angesprochen wird. Diese Schwachstelle ermöglicht es nicht-authentifizierten Angreifern, ihre Rechte zu erhöhen. Betroffen sind Anwendungen, die in Node.js, Java, Python und Golang entwickelt wurden. Im Januar-Update wurden zusätzliche Details und ein FAQ zur Sicherheitsnotiz veröffentlicht. Eine ähnliche Schwachstelle, ebenfalls mit einem CVSS-Score von 9.1/10, betrifft Plattformen wie SAP Business Application Studio, SAP Web IDE Full-Stack und SAP Web IDE for SAP HANA. Die Lösung für beide Probleme beinhaltet die Aktualisierung der Abhängigkeiten zu @sap/approuter und @sap/xssec. Details dazu finden Sie in der Sicherheitsnotiz 3412456.

Unter bestimmten Bedingungen ermöglicht SAP Edge Integration Cell, das von Integrationsbibliotheken und Programmierinfrastrukturen von SAP BTP Security Services abhängt, eine Rechteausweitung aufgrund von CVE-2023-49583 und CVE-2023-50422. Nach erfolgreicher Ausnutzung kann ein nicht authentifizierter Angreifer beliebige Berechtigungen innerhalb der Anwendung erhalten. In Version 8.9.13 von SAP Edge Integration Cell ist das Problem behoben. Um das Problem auch bei Ihnen zu beheben, aktualisieren Sie Ihre Edge-Integration-Cell-Lösung auf die neueste Version.

SAP Security Patchday Januar 2024 | SAP Business Application Studio, WebIDE und Integration Cell  Read More »

Scroll to Top