SAP-Patch-Tag: Dezember 2023
Wichtiger Patch für die Integrationsbibliotheken der SAP BTP Services
Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom Dezember gehören:
- Zusammenfassung für Dezember –Es wurden siebzehn neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter vier HotNews-Hinweise und vier Hinweise mit hoher Priorität.
- Aktuelles zu SAP BTP Eine Sicherheitslücke in den Integrationsbibliotheken SAP BTP Services kann zu einer kritischen Rechteausweitung führen
- Wichtige Aktualisierung für IS-OIL– Der bisherige HotNews-Patch war unvollständig und muss aktualisiert werden
SAP hat an seinem Patch Day im Dezember siebzehn neue und aktualisierte Sicherheitshinweise veröffentlicht (einschließlich der Hinweise, die seit dem letzten Patch Tuesday veröffentlicht oder aktualisiert wurden). Darunter befinden sich vier HotNews-Hinweise und vier Hinweise mit hoher Priorität.
Zwei der vier HotNews-Hinweise sind Aktualisierungen zu einer kritischen Sicherheitslücke im Zusammenhang mit einer Befehlsinjektion im Betriebssystem von IS-OIL, die SAP Onapsis Research Labs dieses Jahres von den Onapsis Research Labs gemeldet wurde. Der SAP-Sicherheitshinweis Nr. 3350297, der mit einem CVSS-Wert von 9,1 versehen ist, wurde ursprünglich im Juli 2023 veröffentlicht, um diese Sicherheitslücke zu beheben. Der Hinweis wurde von SAP mit einem Verweis auf den neuen HotNews-Hinweis Nr. 3399691 aktualisiert, in dem darauf hingewiesen wird, dass die Sicherheitslücke nur dann vollständig behoben ist, wenn beide Patches, Nr. 3350297und Nr. 3399691, angewendet werden. In beiden Sicherheitshinweisen wird darauf hingewiesen, dass die entsprechenden Patches nur auf einem System angewendet werden dürfen, auf dem IS-OIL aktiviert ist. Das Ignorieren dieser Voraussetzung kann zu schwerwiegenden Systeminkonsistenzen führen.
Eine weitere HotNews-Meldung betrifft den regelmäßig erscheinenden SAP-Sicherheitshinweis Nr. 2622660, der ein Update für den SAP Business Client enthält, einschließlich der neuesten unterstützten Chromium-Patches. Der SAP Business Client unterstützt nun Chromium-Version 119.0.6045.159, die insgesamt vierundvierzig Sicherheitslücken behebt, darunter drei als „kritisch“ und siebzehn als „hoch“ eingestufte Schwachstellen. Der maximale CVSS-Wert aller behobenen Schwachstellen im Zusammenhang mit dem SAP Business Client beträgt 8,8.
Die neueHotNews-Notiz im Detail
Der SAP-Sicherheitshinweis Nr. 3411067, der mit einem CVSS-Wert von 9,1 bewertet wurde, behandelt eine kritische Sicherheitslücke zur Rechteausweitung in SAPs Flaggschiff-Anwendung, Platform SAP Business Technology Platform SAP BTP). Die Sicherheitslücke betrifft die SAP BTP Services Integration Libraries, die dazu dienen, die Integration von SAP BTP wie dem SAP Authorization and Trust Management Service (XSUAA) und anderen Identitätsdiensten zu vereinfachen. Sie ermöglicht es einem nicht authentifizierten Angreifer, beliebige Berechtigungen innerhalb der Anwendung zu erlangen, was erhebliche Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung hat. Der Hinweis listet die betroffenen Bibliotheken und Versionen der Programming Infrastructure auf und enthält einige Hinweise und Verweise zur Anwendung der Updates. SAP hat einenBlogbeitrag zu Security Note #3411067veröffentlicht, in dem die Wichtigkeit der Aktualisierung der betroffenen Komponenten betont wird. Leider enthält er keine weiteren Details zur Sicherheitslücke.
SAP-Sicherheitshinweise mit hoher Priorität
Der SAP-Sicherheitshinweis Nr. 3394567, der mit einem CVSS-Wert von 8,1 gekennzeichnet ist, behebt eine Control unzureichenden Control in Cloud SAP Commerce Cloud. Wenn SAP Commerce Cloud Composable Storefront als Storefront verwendet wird, können gesperrte Benutzer die Funktion „Passwort vergessen“ nutzen, um ihren Benutzer zu entsperren, da das Flag „loginDisabled“ für diesen Benutzer während des Passwort-Zurücksetzungsprozesses fälschlicherweise auf „false“ gesetzt wurde. Dies ermöglicht es einem eigentlich gesperrten Benutzer, wieder Zugriff auf die Anwendung zu erlangen, was erhebliche Auswirkungen auf die Vertraulichkeit und Integrität hat.
Der SAP-Sicherheitshinweis Nr. 3382353, der mit einem CVSS-Wert von 7,5 versehen ist, behandelt eine Cross-Site-Scripting-Sicherheitslücke in Platform SAP BusinessObjects Business Intelligence Platform. Die Schwachstelle ermöglicht es einem Angreifer mit weitreichenden Berechtigungen, schädliche Dokumente in das System hochzuladen, die, wenn sie von einem anderen Benutzer geöffnet werden, erhebliche Auswirkungen auf die Integrität der Anwendung haben können. Als vorübergehende Abhilfe können Kunden die zulässigen Dateierweiterungen für den Datei-Upload einschränken, um das Risiko eines Missbrauchs zu minimieren.
Der SAP-Sicherheitshinweis Nr. 3385711, der mit einem CVSS-Wert von 7,3 versehen ist, beschreibt eine Sicherheitslücke im SAP GUI für Windows und im SAP GUI für Java, die zur Offenlegung von Informationen führen kann. Unter bestimmten Umständen kann ein nicht authentifizierter Angreifer Zugriff auf geschützte und vertrauliche Informationen erlangen. Die Vertraulichkeit und Verfügbarkeit des Systems können ebenfalls beeinträchtigt werden, da die Schwachstelle es ermöglicht, Layout-Konfigurationen des ABAP List Viewers zu erstellen. Dies könnte unter anderem zu einer Verlängerung der AS-ABAP-Antwortzeit führen.
Eine Sicherheitslücke aufgrund einer fehlenden Autorisierungsprüfung im SAP EMARSYS SDK ANDROID ermöglicht es einem Angreifer, der control das Android-Mobilgerät eines Opfers hat, sich Webseiten und/oder Deep Links ohne jegliche Validierung direkt aus der Host-Anwendung heraus weiterzuleiten. Bei erfolgreicher Ausnutzung könnte ein Angreifer auf dem Gerät zu beliebigen URLs navigieren, einschließlich Deep Links zu Anwendungen. Der SAP-Sicherheitshinweis Nr. 3406244, der mit einem CVSS-Score von 7,1 versehen ist, enthält einen Patch für diese Schwachstelle sowie eine vorübergehende Abhilfe.
Zusammenfassung und Schlussfolgerung
Mit siebzehn neuen und aktualisierten SAP-Sicherheitshinweisen, darunter vier HotNews-Hinweise und vier Hinweise mit hoher Priorität, stellt der SAP-Patch-Day im Dezember einen durchschnittlichen Patch-Day dar. Der SAP-Sicherheitshinweis Nr. 3411067für SAP BTP einmal mehr, dass die Nutzung einer cloud Kunden nicht daran hindert, eigene Sicherheits- und Patch-Prozesse zu etablieren. SAP-Produktexperte Jürgen Adolf fasst dies in seinemBlogbeitrag zu Security Note #3411067 zusammen:
„Sicherheit ist eine gemeinsame Verantwortung, und proaktive Maßnahmen sind entscheidend für die Aufrechterhaltung der Integrität unserer SAP BTP . Indem wir uns auf dem Laufenden halten und Sicherheitshinweise wie 3411067 umgehend umsetzen, tragen wir gemeinsam zu einer sichereren digitalen Landschaft bei.“
| SAP-Hinweis | Typ | Beschreibung | Priorität | CVSS |
| 3411067 | Neu | [Mehrere CVEs] Rechteausweitung in den Integrationsbibliotheken der Sicherheitsdienste Platform SAP Business Technology Platform BTP)BC-CP-CF-SEC-LIB | Aktuelles | 9,1 |
| 3395306 | Neu | [CVE-2023-49587] Sicherheitslücke durch Befehlsinjektion in SAP Solution ManagerSV-SMG-IMP | Mittel | 6,4 |
| 3159329 | Neu | Sicherheitslücke (Denial-of-Service, DoS) in der in SAPUI5 enthaltenen JSZip-BibliothekCA-UI5-COR-FND | Mittel | 5,3 |
| 3363690 | Neu | [CVE-2023-49058] Verzeichnisüberquerungs-Sicherheitslücke in SAP Master Data GovernanceCA-MDG-ML | Niedrig | 3,5 |
| 3406244 | Neu | [CVE-2023-6542] Fehlende Autorisierungsprüfung im SAP EMARSYS SDK ANDROIDCEC-EMA | Hoch | 7,1 |
| 3406786 | Neu | [CVE-2023-49584] Sicherheitslücke durch clientseitige Desynchronisation in SAP Fiori LaunchpadCA-FLP-ABA | Mittel | 4,3 |
| 3392547 | Neu | [CVE-2023-49581] SQL-Injection-Sicherheitslücke im SAP NetWeaver Application Server ABAP und in der ABAP Platform BC-CCM-MON-ORA | Mittel | 4,1 |
| 3385711 | Neu | [CVE-2023-49580] Sicherheitslücke, die zur Offenlegung von Informationen führt, in SAP GUI für Windows und SAP GUI für JavaBC-FES-GUI | Hoch | 7,3 |
| 3217087 | Neu | [CVE-2023-49577] Cross-Site-Scripting-Sicherheitslücke (XSS) in SAP HCM (SMART PAYE-Lösung)PY-IE | Mittel | 6,1 |
| 3382353 | Neu | [CVE-2023-42478] Cross-Site-Scripting-Sicherheitslücke in Platform SAP BusinessObjects Business Intelligence Platform BI-BIP-ADM | Hoch | 7,5 |
| 3399691 | Neu | Update 1 zu 3350297 – [CVE-2023-36922] Sicherheitslücke durch OS-Befehlsinjektion in SAP ECC und SAP S/4HANA (IS-OIL)IS-OIL-DS-HPM | Aktuelles | 9,1 |
| 3362463 | Neu | [CVE-2023-49578] Denial-of-Service (DoS) im SAP Cloud BC-MID-SCC | Niedrig | 3,5 |
| 3394567 | Neu | [CVE-2023-42481] Control durch unzureichende Control in SAP Commerce Cloud CEC-COM-CPS | Hoch | 8,1 |
| 3383321 | Neu | [CVE-2023-42479] Cross-Site-Scripting-Sicherheitslücke (XSS) in SAP Biller DirectFIN-FSCM-BD | Mittel | 6,1 |
| 3369353 | Neu | [CVE-2023-42476] Cross-Site-Scripting-Sicherheitslücke in SAP BusinessObjects Web IntelligenceBI-RA-WBI-FE | Mittel | 6,8 |
| 2622660 | Aktualisierung | Sicherheitsupdates für das control Chromium“, das mit dem SAP Business ClientBC-FES-BUS-DSK ausgeliefert wird | Aktuelles | 10,0 |
| 3350297 | Aktualisierung | [CVE-2023-36922] Sicherheitslücke durch OS-Befehlsinjektion in SAP ECC und SAP S/4HANA (IS-OIL)IS-OIL-DS-HPM | Aktuelles | 9,1 |
Und damit schließen wir unseren letzten SAP Patch Day-Blogbeitrag für das Jahr 2023 ab. Auch im vergangenen Jahr Onapsis Research Labs wieder derproduktivste Lieferant von Forschungsergebnissen zu Sicherheitslücken fürdas SAP-Produktteam.Die Platformwird automatisch mit den neuesten threat intelligence Sicherheitsempfehlungen aktualisiert, damit unsere Kunden den sich ständig weiterentwickelnden Bedrohungen immer einen Schritt voraus sind und ihre Unternehmen schützen können.
Wir sehen uns hier, zur gleichen Zeit und am gleichen Ort, im nächsten Jahr, wenn wir mit unseren Rückblicken auf das Jahr 2024 beginnen. Weitere Informationen zu den neuesten SAP-Sicherheitsproblemen und unseren kontinuierlichen Bemühungen, Wissen mit der Sicherheits-Community zu teilen, finden Sie in unserenfrüheren Patch-Day-Blogbeiträgen.Abonnieren Sie außerdem unseren monatlichen „Defenders Digest“-Newsletter.