Analyse der SAP-Sicherheitshinweise Januar 2016

Von:

12. Januar 2016

SAP ist ein komplexes und sich ständig wandelndes System, sei es aufgrund von Anpassungen an Ihrer SAP-Implementierung, um diese besser an Ihre geschäftlichen Anforderungen anzupassen, oder durch die Installation von Sicherheitshinweisen (Patches), um neu bekannt gewordene Sicherheitslücken zu schließen.

Um einen planbaren und regelmäßigen Fluss an Informationen zur Behebung von Sicherheitslücken sowie an Sicherheitspatches zu gewährleisten, veröffentlicht SAP den Großteil seiner aktuellen Sicherheitshinweise am zweiten Dienstag jedes Monats. Angesichts dieser regelmäßigen Bekanntgabe neuer Sicherheitsprobleme, die die Sicherheit von SAP-Systemen innerhalb eines Unternehmens potenziell beeinträchtigen könnten, wird dringend empfohlen, mindestens einmal monatlich regelmäßige Überprüfungen durchzuführen.

Bei Onapsis liegt uns die Sicherheit der SAP-Systeme unserer Kunden sowie die allgemeine SAP-Sicherheit sehr am Herzen. Um unsere Kunden zu unterstützen, führen wir daher eine detaillierte Analyse der monatlichen SAP-Sicherheitshinweise durch, sobald diese veröffentlicht werden. Ziel ist es, SAP-Kunden detaillierte Informationen zu den neu veröffentlichten Hinweisen und Schwachstellen zu liefern, die ihre SAP-Systeme betreffen, und sie bei der Durchführung von Tests dieser Systeme in ihrem Unternehmen zu unterstützen.

Zwischen dem letzten veröffentlichten SAP Security Tuesday und heute hat die SAP AG 23 SAP-Sicherheitshinweise veröffentlicht (unter Berücksichtigung von 3 Support-Paketen und 20 Patch-Day-Hinweisen). Die Onapsis Research Labs hat wie fast jeden Monat dazu beigetragen, in der SAP-Software gefundene Schwachstellen zu melden (Danksagung an die Sicherheitsforscher).

Die in diesem Monat veröffentlichten SAP-Sicherheitshinweise, die sich auf von den Onapsis Research Labs gemeldete Sicherheitswarnungen bezogen, Onapsis Research Labs :

  • 2246277;6.4 (AV:N/AC:L/Au:N/C:P/I:P/A:N). Unsicheres Authentifizierungsschema bei SAP ORACLE
  • 2233550;5.8 (AV:A/AC:H/Au:N/C:C/I:P/A:P). Die Kommunikationsverschlüsselung für HANA-Datenbankcontainer mit mehreren Mandanten funktioniert nicht wie erwartet
  • 2233136;4.9 (AV:N/AC:H/Au:S/C:N/I:N/A:C). Mögliche Beendigung laufender Prozesse, ausgelöst durch eine IMPORT-Anweisung
  • 2252941;1.7 (AV:L/AC:L/Au:S/C:P/I:N/A:N). Mögliche Offenlegung von Informationen in Bezug auf Dateien, die mit der EXPORT-Anweisung aus SAP HANA exportiert wurden

Das Diagramm veranschaulicht die Verteilung der CVSS-v2-Werte auf die veröffentlichten Sicherheitshinweise. Bei der Erstellung des Diagramms wurden nur diejenigen Sicherheitshinweise berücksichtigt, für die SAP einen CVSS-v2-Wert festgelegt hat (17 der 23 SAP-Sicherheitshinweise). Wie aus dem Diagramm hervorgeht, reichen die Werte der SAP-Sicherheitshinweise von 1,7 bis 7,5, wobei der Median bei 4,9 liegt.

Aktuelles von SAP

In diesem Monat wurden keine „Hot News“ veröffentlicht.

Von SAP bereitgestellte SAP-Sicherheitshinweise mit höherer CVSS-Bewertung

  • 22476447.5 (AV:N/AC:L/Au:N/C:P/I:P/A:P). PI SEC: Sicherheitslücken in der Apache Groovy-Bibliothek, die in PI Cloud Content verwendet wird. Diese Sicherheitslücke steht im Zusammenhang mitCVE-2015-3253, die im vergangenen Monat in der SAP-Sicherheitsmitteilung2248673 behoben wurde. Das Problem liegt in einer Bibliothek namens Apache Groovy, die von der Komponente Integration Gateway verwendet wird.
  • 22219866.5 (AV:N/AC:L/Au:S/C:P/I:P/A:P). Der HANA-Rolle „hdbrole“ wurden zu viele Berechtigungen zugewiesen. Der Hinweis verbesserte die Berechtigungen einer vom SAP HANA Rules Framework bereitgestellten Rolle; diese Berechtigungen ermöglichten es dem Benutzer, auf Objekte in einem bestimmten Schema zuzugreifen, zu denen der Zugriff eigentlich untersagt sein sollte.
  • 22462776.4 (AV:N/AC:L/Au:N/C:P/I:P/A:N). Unsicheres Authentifizierungsschema von SAP ORACLE. Der Hinweis korrigiert den Wert eines Parameters (der bereits als veraltet markiert wurde), der sich als unsicher erweist, wenn der SAP Secure Store für eine Oracle 11.2-Datenbankverbindung verwendet wird.
  • 22487356.0 (AV:N/AC:M/Au:S/C:P/I:P/A:P). Sicherheitslücke durch Code-Injektion im System Administration Assistant. Der Hinweis behebt eine Sicherheitslücke mit hoher Priorität, durch die ein authentifizierter Angreifer den SAP System Administration Assistant missbrauchen und beliebige Betriebssystembefehle ausführen könnte.
  • 22335505.8 (AV:A/AC:H/Au:N/C:C/I:P/A:P). Die Kommunikationsverschlüsselung für HANA-Multi-Tenant-Datenbankcontainer funktioniert nicht wie erwartet. Der Hinweis behebt einen Sicherheitsfehler, der ausschließlich die Installationen von SAP-HANA-Multi-Tenant-Datenbankcontainern betraf. Das Problem lag in dem Mechanismus, den die Anwendung zur Authentifizierung und Verschlüsselung der Kommunikation zwischen den internen Diensten des Mandanten verwendete. Durch Ausnutzung dieser Schwachstelle wäre ein potenzieller Angreifer in der Lage, die Kommunikation abzuhören oder über einen anderen Mandanten auf demselben SAP-HANA-Host eine Verbindung zu einem Mandanten herzustellen (zu dem kein Zugriff erlaubt ist).
  • 21934245.0 (AV:N/AC:L/Au:N/C:P/I:N/A:N). Mögliche Offenlegung von Informationen im Zusammenhang mit NavigationServlet. Der Patch behebt eine Sicherheitslücke, die zur Offenlegung von Informationen führen kann und von einem nicht authentifizierten Benutzer ausgenutzt werden könnte, um Daten des Benutzers zu ermitteln, der NavigationServlet verwendet.
  • 22419785.0 (AV:N/AC:L/Au:N/C:N/I:P/A:N). Log-Injection und fehlende Größenbeschränkung in SAP HANA Extended Application Services Classic (XS). Der Hinweis behebt einen Sicherheitsfehler in SAP HANA Extended Application Services Classic (XS), durch den ein nicht authentifizierter Angreifer speziell gestaltete HTTP-Anfragen senden kann, um zusätzliche Protokolleinträge in den Trace-Dateien des XS-Prozesses zu fälschen und Speicherplatz des HANA-Systems zu beanspruchen. Der Speicherplatzverbrauch unterliegt einer festen Begrenzung, und das Produkt verfügt standardmäßig über einen Log-Rotationsmechanismus; dennoch können speziell gestaltete HTTP-Anfragen die verfügbaren Speicherpuffer im XS-Prozess aufbrauchen und diesen zum Absturz bringen.

Weitere Korrekturen mit hoher Priorität (kein CVSS-Wert von SAP angegeben)

  • 2262645– Sicherheitslücke in der Apache Commons Collections-Bibliothek, die von mehreren SAP-Sybase-Produkten verwendet wird.
  • 2249347– Sicherheitslücken in der Apache Commons Collections-Bibliothek, die in ep.runtime.common verwendet wird.
    Beide SAP-Sicherheitshinweise sind verlinkt, da bestimmte Versionen von SAP Enterprise Portal und SAP Sybase-Produkten ein Open-Source-Framework namens Apache Commons Collections-Bibliothek verwendeten, bei dem Sicherheitsprobleme festgestellt wurden (Denial-of-Service und Remote-Code-Ausführung während der Deserialisierung von Objekten). Die Hinweise enthalten eine neue Version dieses Frameworks, die aktualisiert wurde und keine Sicherheitslücken aufweist.
  • 1973081– XSRF-Sicherheitslücke: Externer Start von Transaktionen mit OKCode. Der Hinweis bietet umschaltbare Whitelists als generische Lösung für Cross-Site Request Forgery. Diese Funktion soll im SAP-Backend ausgeführt werden und SAP-Administratoren anwendungsübergreifenden Schutz vor Cross-Site-Request-Forgery-Angriffen bieten.
  • 2243373– Mögliche Denial-of-Service-Anfälligkeit in BC-WD-JAV. Der Hinweis enthält eine Korrektur zur Behebung einer „Denial-of-Service“-Sicherheitslücke, die durch die Ausnutzung eines übermäßigen Ressourcenverbrauchs der Webdynpro-Java-Anwendung ausgenutzt werden könnte. Der Angreifer würde diesen Zustand auslösen, indem er eine speziell gestaltete Anfrage an die Java-Anwendung sendet und so einen Denial-of-Service-Zustand herbeiführt.

Weitere Angriffsvektoren

Onapsis aktualisiert sein Flaggschiffprodukt, die Onapsis Security Platform OSP), jeden Monat, damit Sie überprüfen können, ob Ihre Systeme auf dem neuesten Stand der SAP-Sicherheitshinweise sind, und um sicherzustellen, dass diese Systeme mit dem erforderlichen Sicherheitsniveau konfiguriert sind, um Ihre Audit- und Compliance-Anforderungen zu erfüllen.

Seien Sie gespannt auf die Analyse der „Security Notes“ im nächsten Monat von den Onapsis Research Labs.

HINWEIS:
SAP hat seinen monatlichen Beitrag im SCN-Bereich„The Official SAP Product Security Response Space“ veröffentlicht, der Informationen zu den SAP-Sicherheitshinweisen enthält.
Hier ist der Link zum SAP-Blogbeitrag:„SAP Security Patch Day – Januar 2016“

Stichworte, , , ,
Über den Autor
Porträtfoto von Virginia Satrom

Virginia Satrom Peterson

Vizepräsident, Wachstumsmarketing

Virginia Satrom Peterson ist eine strategische Führungskraft im Bereich Cybersicherheit und hat sich auf die Schnittstelle zwischen geschäftskritischer Anwendungssicherheit und digitaler Transformation spezialisiert. Bei Onapsis konzentriert sie sich darauf, komplexe threat intelligence umsetzbare Erkenntnisse für Führungskräfte in Unternehmen zu übersetzen. Indem sie die Kluft zwischen dem technischen Sicherheitsbetrieb und den geschäftlichen Entscheidungsträgern überbrückt, hilft Virginia Unternehmen dabei, die Dringlichkeit des Schutzes ihrer zentralen ERP-Landschaften vor sich ständig weiterentwickelnden Cyberbedrohungen zu erkennen.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen