SAP Sybase CSRF Security

SAP Security Notes Patchday November 2023 Dieser Artikel ist eine Zusammenfassung über die Inhalte und aktuellen Schwachstellen für SAP Systeme. SAP hat am 14.11.2023 vier neue Sicherheitshinweise und zwei Aktualisierungen veröffentlicht.

Sicherheitshinweis 3340576: Adressiert eine kritische Sicherheitslücke in der SAP CommonCryptoLib, die zu einer Eskalation von Berechtigungen führen kann. Ein Angreifer könnte durch Ausnutzung dieser Schwachstelle Funktionen nutzen, die normalerweise eingeschränkten Benutzergruppen vorbehalten sind, sowie eingeschränkte Daten lesen, modifizieren oder löschen. Ein Update auf CommonCryptoLib 8.5.50 oder höher wird empfohlen, um dieses Problem zu beheben.

Sicherheitshinweis 3366410: Beschreibt ein Informationsleck in der NetWeaver AS Java Logon-Anwendung, bei dem ein nicht authentifizierter Angreifer die Anmeldefunktionalität ausnutzen kann, um legitime Benutzer-IDs zu identifizieren. Dies hat Auswirkungen auf die Vertraulichkeit. Eine Korrektur wurde implementiert, und es wird empfohlen, den NW Application Server Java auf eine Version zu aktualisieren, in der das Problem behoben ist​.

Sicherheitshinweis 3362849: Diese Notiz behandelt ein Informationsleck im Internet Communication Manager (ICM) von SAP NetWeaver Application Server ABAP. Ein Angreifer könnte unter bestimmten Bedingungen auf unbeabsichtigte Daten zugreifen. Auch hier wird eine Korrektur bereitgestellt, und es wird empfohlen, den Kernel-Patch-Level entsprechend zu aktualisieren​.
Sicherheitshinweis 3333426: Diese Notiz adressiert eine Server-Side Request Forgery (SSRF)-Schwachstelle in der GRMG Heartbeat-Anwendung von SAP NetWeaver AS Java. Ein Angreifer könnte eine anfällige Webanwendung dazu bringen, eine manipulierte Anfrage zu senden, was zu begrenzten Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung führt. Eine erlaubte Liste-basierte Validierung von externen Server-Ressourcen-URLs und HTTP-Anfrage-Headern wird als Lösung vorgeschlagen