SAP Security Note Patch Day Dezember 2023 | SAP Business Technology Platform (BTP)

Leave a Comment / SAP, SAP Security Patch Day / By

SAP Security Notes Patch Day Dezember 2023 Dieser Artikel ist eine Zusammenfassung über die Inhalte und aktuellen Schwachstellen für SAP Systeme. SAP hat am 12.12.2023 neue Sicherheitshinweise und Aktualisierungen veröffentlicht.

SAP BTP Sicherheitslücke: Eine Schwachstelle in den SAP BTP Security Services Integration Libraries kann zu einer kritischen Eskalation von Privilegien führen.

IS-OIL OS Command Injection:** Zwei der vier HotNews-Notizen sind Updates zu einer kritischen OS Command Injection-Schwachstelle in IS-OIL, gemeldet von Onapsis Research Labs. Die SAP Security Note #3350297, mit einem CVSS-Score von 9.1, wurde zunächst im Juli 2023 veröffentlicht und nun mit der neuen HotNews Note #3399691 aktualisiert. Beide Notizen betonen, dass die entsprechenden Patches nur dann angewendet werden dürfen, wenn IS-OIL aktiviert ist, um schwerwiegende Systeminkonsistenzen zu vermeiden.

Update für SAP Business Client: Die regelmäßig wiederkehrende SAP Security Note #2622660 bietet ein Update für den SAP Business Client, einschließlich der neuesten unterstützten Chromium-Patches. Der SAP Business Client unterstützt nun die Chromium-Version 119.0.6045.159, die insgesamt vierundvierzig Schwachstellen behebt, darunter drei kritische und siebzehn mit hoher Priorität. Der höchste CVSS-Wert aller behobenen Schwachstellen im Kontext des SAP Business Client beträgt 8.8.

SAP Fiori Launchpad: Die SAP Security Note #3406786 adressiert eine Client-Side Desynchronization-Schwachstelle im SAP Fiori Launchpad (CVSS-Score: 4.3). Ein authentifizierter Benutzer konnte den HTTP-Verb POST auf einen nur-lesen-Dienst verwenden, was sich geringfügig auf die Vertraulichkeit der Anwendung auswirkt. Die Lösung besteht darin, dass der Dienst nur noch GET-Anfragen akzeptiert und die Verbindung bei anderen HTTP-Verben schließt.

SAP NetWeaver Application Server ABAP und ABAP Platform: Die SAP Security Note #3392547 behandelt eine SQL-Injection-Schwachstelle. Ein bösartiger Benutzer mit Entwickler- oder Datenbankadministrationsrechten könnte ein SQL-Injection durchführen, was zu nicht-sensitiven Datenbankmetadatenänderungen führen kann. Die Lösung besteht darin, eine korrekte Eingabekodierung zu implementieren, um die Eingabe gültiger SQL-Anweisungen zu verhindern

SAP Security Note Patch Day Dezember 2023 | SAP Business Technology Platform (BTP) Read More »