Patchday – Page 2 – SAP Technology & Security

SAP Security Patchday März 2024 | LogViewer, BuildApps und Business Client Chromium

SAP Security Notes Patch Day März 2024 Dieser Artikel ist eine Zusammenfassung über die Inhalte und aktuellen Schwachstellen für SAP Systeme. SAP hat am 12.03.2024 neue Sicherheitshinweise und Aktualisierungen veröffentlicht.

wie ein Uhrwerk, pünktlich am zweiten Dienstag des Monats, rollte SAP am 12. März 2024 seinen Security Patchday aus. Dieses Mal wurden zehn neue Sicherheitshinweise veröffentlicht, inklusive zwei Updates zu vorherigen Patchdays, die das kontinuierliche Engagement von SAP für die Sicherheit seiner Systeme und Anwendungen unterstreichen. Besonders brisant: Unter den Updates befinden sich drei „Hot News“-Hinweise, die Sicherheitslücken mit einem Risiko-Score (CVSS) von über 9.0 betreffen. In diesem Artikel werden wir tiefer in die Details dieser Hinweise eintauchen, die Implikationen für SAP Build Apps und die Verantwortlichkeiten der AS Java Administratoren beleuchten. Wir diskutieren auch, welche Maßnahmen Unternehmen ergreifen sollten, um sich gegen diese und zukünftige Schwachstellen zu schützen. Eine neu identifizierte Schwachstelle im SAP NetWeaver AS Java, speziell im Administrator Log Viewer Plug-in, kennzeichnet durch die CVE-2024-22127, stellt eine erhebliche Bedrohung dar. Diese Schwachstelle ermöglicht es einem Angreifer mit hohen Privilegien, potenziell gefährliche Dateien hochzuladen, was zu einer Command Injection führen kann. Die Auswirkungen dieser Sicherheitslücke sind gravierend, da sie die Vertraulichkeit, Integrität und Verfügbarkeit der betroffenen Anwendungen hochgradig beeinträchtigen kann. Dieser Artikel wird nicht nur die technischen Details dieser spezifischen Bedrohung erörtern, sondern auch die notwendigen Schritte zur Absicherung Ihres Systems beleuchten, einschließlich der Anwendung der von SAP bereitgestellten Sicherheitsnote und der Konfiguration von Virenscan-Profilen als zusätzliche Sicherheitsmaßnahme.

SAP Security Patchday März 2024 | LogViewer, BuildApps und Business Client Chromium Read More »

SAP Security Patchday Januar 2024 | SAP Business Application Studio, WebIDE und Integration Cell

Leave a Comment / SAP, SAP Security Patch Day / By BALTX

SAP Security Notes Patch Day Januar 2024 Dieser Artikel ist eine Zusammenfassung über die Inhalte und aktuellen Schwachstellen für SAP Systeme. SAP hat am 09.01.2024 neue Sicherheitshinweise und Aktualisierungen veröffentlicht. Insgesamt wurden zehn neue Sicherheitsnotizen und zwei Updates zu früheren SAP Notes herausgegeben.

Ein zentrales Thema ist die im Dezember identifizierte Schwachstelle in den SAP BTP Security Services Integration Libraries, die durch die Sicherheitsnotiz 3411067 angesprochen wird. Diese Schwachstelle ermöglicht es nicht-authentifizierten Angreifern, ihre Rechte zu erhöhen. Betroffen sind Anwendungen, die in Node.js, Java, Python und Golang entwickelt wurden. Im Januar-Update wurden zusätzliche Details und ein FAQ zur Sicherheitsnotiz veröffentlicht. Eine ähnliche Schwachstelle, ebenfalls mit einem CVSS-Score von 9.1/10, betrifft Plattformen wie SAP Business Application Studio, SAP Web IDE Full-Stack und SAP Web IDE for SAP HANA. Die Lösung für beide Probleme beinhaltet die Aktualisierung der Abhängigkeiten zu @sap/approuter und @sap/xssec. Details dazu finden Sie in der Sicherheitsnotiz 3412456.

Unter bestimmten Bedingungen ermöglicht SAP Edge Integration Cell, das von Integrationsbibliotheken und Programmierinfrastrukturen von SAP BTP Security Services abhängt, eine Rechteausweitung aufgrund von CVE-2023-49583 und CVE-2023-50422. Nach erfolgreicher Ausnutzung kann ein nicht authentifizierter Angreifer beliebige Berechtigungen innerhalb der Anwendung erhalten. In Version 8.9.13 von SAP Edge Integration Cell ist das Problem behoben. Um das Problem auch bei Ihnen zu beheben, aktualisieren Sie Ihre Edge-Integration-Cell-Lösung auf die neueste Version.

SAP Security Patchday Januar 2024 | SAP Business Application Studio, WebIDE und Integration Cell Read More »

SAP Security Patch Day Oktober 2023 | Google Chromium delivered with SAP Business Client

Leave a Comment / SAP, SAP Security Patch Day / By BALTX

SAP Security Notes Patchday Oktober 2023 Dieser Artikel ist eine Zusammenfassung über die Inhalte und aktuellen Schwachstellen für SAP Systeme. SAP hat am 10.10.2023 sieben neue Sicherheitshinweise und zwei Aktualisierungen veröffentlicht. Die gravierendste Lücke ist eine Schwachstelle im SAP Business Client ( BC-FES-BUS-DSK) beim Zugriff auf Webinhalte oder Webapplikationen. Hier wird Chromium verwendet und diese Lücke muss von den Administratoren schnellstmöglich geschlossen werden. Der Artikel weisst 3 mögliche Angriffszenarien auf.

Information Disclosure Vulnerability in Statutory Reporting (Sicherheitshinweis 3222121): Eine Schwachstelle in der Statutory Reporting-Anwendung könnte es Angreifern mit niedrigen Privilegien ermöglichen, Serverdateien zu lesen, was sich geringfügig auf die Vertraulichkeit auswirkt.

Information Disclosure Vulnerability in SAP Business One (Sicherheitshinweis 3338380): SAP Business One (B1i) ermöglicht es einem autorisierten Angreifer, durch XXE-Injection-Techniken sensible Informationen zu offenbaren. Es besteht ein begrenztes Risiko für die Vertraulichkeit, aber keine Auswirkungen auf die Integrität und Verfügbarkeit der Anwendung.

Log Injection Vulnerability in SAP NetWeaver AS für Java (Log Viewer) (Sicherheitshinweis 3371873): Diese Sicherheitsnotiz ist ein Update zur vorherigen Note 3324732 und adressiert eine unvollständige Korrektur in ENGINEAPI 7.50, die eine Log Injection-Schwachstelle in der TOTPLoginModule betrifft.

Missing Authorization Check In S/4HANA (Manage Withholding Tax Items) (Sicherheitshinweis 3219846):
Diese Note behandelt eine fehlende Autorisierungsprüfung in S/4HANA Manage Withholding Tax Items, die zu einer Eskalation von Berechtigungen führen könnte. Die Auswirkungen auf Vertraulichkeit und Integrität der Anwendung sind gering.

Cross-Site Scripting (XSS) Vulnerability in SAP BusinessObjects Web Intelligence (Sicherheitshinweis 3372991): SAP BusinessObjects Web Intelligence weist eine XSS-Schwachstelle auf, bei der ein Angreifer einen bösartigen Link an einen Benutzer senden könnte, der möglicherweise sensible Informationen preisgibt.

SAP Security Patch Day Oktober 2023 | Google Chromium delivered with SAP Business Client Read More »

SAP Security Patch Day August 2023

Leave a Comment / SAP, SAP Security Patch Day / By BALTX

SAP Security Notes Patchday August 2023 Dieser Artikel ist eine Zusammenfassung über die Inhalte und aktuellen Schwachstellen für SAP Systeme insbesondere NetWeaver ABAP Application Server, SAP Message Server, SAP PowerDesigner, NetWeaver Process Integration (JAVA) und SAP Business One. Darüber hinaus gibt eine Lösung für die XSS vulnerabilities in der SAPUI5 jQuery Bibilitheken.

SAP Security Patch Day August 2023 Read More »

SAP Security Patch Day Juli 2023

Leave a Comment / SAP, SAP Security Patch Day / By BALTX

SAP Security Notes Patchday Juli 2023 Dieser Artikel ist eine Zusammenfassung über die Inhalte und aktuellen Schwachstellen für SAP Systeme insbesondere Solution Manager, Diagnostic-Agent, ERP, JAVA Log Viewer, Berechtigungsprüfung in SAP PI und diverse Lücken im SAP Web Dispatcher

SAP Security Patch Day Juli 2023 Read More »