SAP Security Patch Day – Page 3 – SAP Technology & Security

SAP Security Note Patch Day Dezember 2023 | SAP Business Technology Platform (BTP)

SAP Security Notes Patch Day Dezember 2023 Dieser Artikel ist eine Zusammenfassung über die Inhalte und aktuellen Schwachstellen für SAP Systeme. SAP hat am 12.12.2023 neue Sicherheitshinweise und Aktualisierungen veröffentlicht.

SAP BTP Sicherheitslücke: Eine Schwachstelle in den SAP BTP Security Services Integration Libraries kann zu einer kritischen Eskalation von Privilegien führen.

IS-OIL OS Command Injection:** Zwei der vier HotNews-Notizen sind Updates zu einer kritischen OS Command Injection-Schwachstelle in IS-OIL, gemeldet von Onapsis Research Labs. Die SAP Security Note #3350297, mit einem CVSS-Score von 9.1, wurde zunächst im Juli 2023 veröffentlicht und nun mit der neuen HotNews Note #3399691 aktualisiert. Beide Notizen betonen, dass die entsprechenden Patches nur dann angewendet werden dürfen, wenn IS-OIL aktiviert ist, um schwerwiegende Systeminkonsistenzen zu vermeiden.

Update für SAP Business Client: Die regelmäßig wiederkehrende SAP Security Note #2622660 bietet ein Update für den SAP Business Client, einschließlich der neuesten unterstützten Chromium-Patches. Der SAP Business Client unterstützt nun die Chromium-Version 119.0.6045.159, die insgesamt vierundvierzig Schwachstellen behebt, darunter drei kritische und siebzehn mit hoher Priorität. Der höchste CVSS-Wert aller behobenen Schwachstellen im Kontext des SAP Business Client beträgt 8.8.

SAP Fiori Launchpad: Die SAP Security Note #3406786 adressiert eine Client-Side Desynchronization-Schwachstelle im SAP Fiori Launchpad (CVSS-Score: 4.3). Ein authentifizierter Benutzer konnte den HTTP-Verb POST auf einen nur-lesen-Dienst verwenden, was sich geringfügig auf die Vertraulichkeit der Anwendung auswirkt. Die Lösung besteht darin, dass der Dienst nur noch GET-Anfragen akzeptiert und die Verbindung bei anderen HTTP-Verben schließt.

SAP NetWeaver Application Server ABAP und ABAP Platform: Die SAP Security Note #3392547 behandelt eine SQL-Injection-Schwachstelle. Ein bösartiger Benutzer mit Entwickler- oder Datenbankadministrationsrechten könnte ein SQL-Injection durchführen, was zu nicht-sensitiven Datenbankmetadatenänderungen führen kann. Die Lösung besteht darin, eine korrekte Eingabekodierung zu implementieren, um die Eingabe gültiger SQL-Anweisungen zu verhindern

SAP Security Note Patch Day Dezember 2023 | SAP Business Technology Platform (BTP) Read More »

SAP Security Note Patch Day November 2023 | CommonCryptoLib

SAP Security Notes Patchday November 2023 Dieser Artikel ist eine Zusammenfassung über die Inhalte und aktuellen Schwachstellen für SAP Systeme. SAP hat am 14.11.2023 vier neue Sicherheitshinweise und zwei Aktualisierungen veröffentlicht.

Sicherheitshinweis 3340576: Adressiert eine kritische Sicherheitslücke in der SAP CommonCryptoLib, die zu einer Eskalation von Berechtigungen führen kann. Ein Angreifer könnte durch Ausnutzung dieser Schwachstelle Funktionen nutzen, die normalerweise eingeschränkten Benutzergruppen vorbehalten sind, sowie eingeschränkte Daten lesen, modifizieren oder löschen. Ein Update auf CommonCryptoLib 8.5.50 oder höher wird empfohlen, um dieses Problem zu beheben.

Sicherheitshinweis 3366410: Beschreibt ein Informationsleck in der NetWeaver AS Java Logon-Anwendung, bei dem ein nicht authentifizierter Angreifer die Anmeldefunktionalität ausnutzen kann, um legitime Benutzer-IDs zu identifizieren. Dies hat Auswirkungen auf die Vertraulichkeit. Eine Korrektur wurde implementiert, und es wird empfohlen, den NW Application Server Java auf eine Version zu aktualisieren, in der das Problem behoben ist.

Sicherheitshinweis 3362849: Diese Notiz behandelt ein Informationsleck im Internet Communication Manager (ICM) von SAP NetWeaver Application Server ABAP. Ein Angreifer könnte unter bestimmten Bedingungen auf unbeabsichtigte Daten zugreifen. Auch hier wird eine Korrektur bereitgestellt, und es wird empfohlen, den Kernel-Patch-Level entsprechend zu aktualisieren.
Sicherheitshinweis 3333426: Diese Notiz adressiert eine Server-Side Request Forgery (SSRF)-Schwachstelle in der GRMG Heartbeat-Anwendung von SAP NetWeaver AS Java. Ein Angreifer könnte eine anfällige Webanwendung dazu bringen, eine manipulierte Anfrage zu senden, was zu begrenzten Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung führt. Eine erlaubte Liste-basierte Validierung von externen Server-Ressourcen-URLs und HTTP-Anfrage-Headern wird als Lösung vorgeschlagen

SAP Security Note Patch Day November 2023 | CommonCryptoLib Read More »

SAP Security Patch Day Oktober 2023 | Google Chromium delivered with SAP Business Client

Leave a Comment / SAP, SAP Security Patch Day / By BALTX

SAP Security Notes Patchday Oktober 2023 Dieser Artikel ist eine Zusammenfassung über die Inhalte und aktuellen Schwachstellen für SAP Systeme. SAP hat am 10.10.2023 sieben neue Sicherheitshinweise und zwei Aktualisierungen veröffentlicht. Die gravierendste Lücke ist eine Schwachstelle im SAP Business Client ( BC-FES-BUS-DSK) beim Zugriff auf Webinhalte oder Webapplikationen. Hier wird Chromium verwendet und diese Lücke muss von den Administratoren schnellstmöglich geschlossen werden. Der Artikel weisst 3 mögliche Angriffszenarien auf.

Information Disclosure Vulnerability in Statutory Reporting (Sicherheitshinweis 3222121): Eine Schwachstelle in der Statutory Reporting-Anwendung könnte es Angreifern mit niedrigen Privilegien ermöglichen, Serverdateien zu lesen, was sich geringfügig auf die Vertraulichkeit auswirkt.

Information Disclosure Vulnerability in SAP Business One (Sicherheitshinweis 3338380): SAP Business One (B1i) ermöglicht es einem autorisierten Angreifer, durch XXE-Injection-Techniken sensible Informationen zu offenbaren. Es besteht ein begrenztes Risiko für die Vertraulichkeit, aber keine Auswirkungen auf die Integrität und Verfügbarkeit der Anwendung.

Log Injection Vulnerability in SAP NetWeaver AS für Java (Log Viewer) (Sicherheitshinweis 3371873): Diese Sicherheitsnotiz ist ein Update zur vorherigen Note 3324732 und adressiert eine unvollständige Korrektur in ENGINEAPI 7.50, die eine Log Injection-Schwachstelle in der TOTPLoginModule betrifft.

Missing Authorization Check In S/4HANA (Manage Withholding Tax Items) (Sicherheitshinweis 3219846):
Diese Note behandelt eine fehlende Autorisierungsprüfung in S/4HANA Manage Withholding Tax Items, die zu einer Eskalation von Berechtigungen führen könnte. Die Auswirkungen auf Vertraulichkeit und Integrität der Anwendung sind gering.

Cross-Site Scripting (XSS) Vulnerability in SAP BusinessObjects Web Intelligence (Sicherheitshinweis 3372991): SAP BusinessObjects Web Intelligence weist eine XSS-Schwachstelle auf, bei der ein Angreifer einen bösartigen Link an einen Benutzer senden könnte, der möglicherweise sensible Informationen preisgibt.

SAP Security Patch Day Oktober 2023 | Google Chromium delivered with SAP Business Client Read More »

SAP Security Patch Day August 2023

Leave a Comment / SAP, SAP Security Patch Day / By BALTX

SAP Security Notes Patchday August 2023 Dieser Artikel ist eine Zusammenfassung über die Inhalte und aktuellen Schwachstellen für SAP Systeme insbesondere NetWeaver ABAP Application Server, SAP Message Server, SAP PowerDesigner, NetWeaver Process Integration (JAVA) und SAP Business One. Darüber hinaus gibt eine Lösung für die XSS vulnerabilities in der SAPUI5 jQuery Bibilitheken.

SAP Security Patch Day August 2023 Read More »

SAP Security Patch Day Juli 2023

Leave a Comment / SAP, SAP Security Patch Day / By BALTX

SAP Security Notes Patchday Juli 2023 Dieser Artikel ist eine Zusammenfassung über die Inhalte und aktuellen Schwachstellen für SAP Systeme insbesondere Solution Manager, Diagnostic-Agent, ERP, JAVA Log Viewer, Berechtigungsprüfung in SAP PI und diverse Lücken im SAP Web Dispatcher

SAP Security Patch Day Juli 2023 Read More »