SAP-Patch-Tag: Februar 2023
Wichtige Hinweise zu SAP Host Agent, SAP BusinessObjects und SAP Business Planning and Consolidation
Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom Februar gehören:
- Zusammenfassung für Februar—Es wurden 26 neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter eine HotNews-Meldung und fünf Meldungen mit hoher Priorität
- Höchster CVSS-Wert für SAP Host Agent—Kritische Sicherheitslücke ermöglicht die Ausführung beliebiger Betriebssystembefehle
- Onapsis Research Labs –Unser Team hat SAP dabei unterstützt, dreizehn Sicherheitslücken zu beheben, die in zwölf SAP-Sicherheitshinweisen behandelt wurden
SAP hat an seinem Patch Day im Februar 26 SAP-Sicherheitshinweise veröffentlicht, darunter einen HotNews-Hinweis und fünf Hinweise mit hoher Priorität.
Die einzige HotNews-Meldung im Februar ist der regelmäßig erscheinende SAP-Sicherheitshinweis Nr. 2622660, der die neuesten Chromium-Sicherheitslücken für den SAP Business Client behebt. Er behebt 54 Chromium-Sicherheitslücken, darunter 22 Patches mit hoher Priorität. Der maximale CVSS-Wert aller behobenen Sicherheitslücken beträgt 8,8.
Zwei der fünf Sicherheitshinweise mit hoher Priorität sind aktualisierte Versionen bereits veröffentlichter SAP-Sicherheitshinweise und wurden ursprünglich am SAP-Patch-Day im Dezember veröffentlicht.
Der SAP-Sicherheitshinweis Nr. 3268172, der mit einem CVSS-Wert von 8,8 versehen ist, weist nun ausdrücklich darauf hin, dass auch Kunden, die SAP auf einer anderen Datenbank als HANA betreiben, von diesem Hinweis betroffen sind.
Der Hinweis mit hoher Priorität Nr . 3271091, der mit einem CVSS-Wert von 8,5 versehen ist, behebt eine Sicherheitslücke in SAP Business Planning and Consolidation, die eine Rechteausweitung ermöglicht. Dieser Hinweis wurde lediglich um einige geringfügige Textänderungen ergänzt; sofern er bereits umgesetzt wurde, sind keine weiteren Maßnahmen seitens der Kunden erforderlich.
Die neuen Notizen mit hoher Priorität im Detail
Der hinsichtlich des CVSS-Werts kritischste Patch des SAP-Patch-Days im Februar ist die SAP-Sicherheitsmitteilung Nr . 3285757 mit einem CVSS-Wert von 8,8. Unser Team von den Onapsis Research Labs ORL) hat eine schwerwiegende Sicherheitslücke im SAP Host Agent entdeckt. Ein authentifizierter Nicht-Admin-Benutzer mit lokalem Zugriff auf einen dem SAP Host Agent Service zugewiesenen Serverport kann eine speziell gestaltete Webservice-Anfrage mit einem beliebigen Betriebssystembefehl senden. Dieser Befehl wird mit Administratorrechten ausgeführt und kann die Vertraulichkeit, Integrität und Verfügbarkeit eines Systems beeinträchtigen. Der Hinweis enthält einen Patch für den SAP Host Agent. Kunden, die mit der Aktualisierung des SAP Host Agent nicht vertraut sind, finden weitere Informationen in SAP-Hinweis Nr. 1031096.
Die beiden verbleibenden neuen Meldungen mit hoher Priorität betreffen beide Kunden von SAP BusinessObjects (BO).
Der SAP-Sicherheitshinweis Nr. 3263135, der mit einem CVSS-Wert von 8,5 bewertet wurde, behebt eine Sicherheitslücke, die zur Offenlegung von Informationen in platform SAP BusinessObjects Business platform führt. Der Hinweis enthält keine weiteren Details, außer dass ein Angreifer für einen Angriff eine Authentifizierung benötigt. Ein erfolgreicher Angriff kann erhebliche Auswirkungen auf die Vertraulichkeit und begrenzte Auswirkungen auf die Integrität der Anwendung haben.
Die kritischere Meldung hinsichtlich ihrer möglichen Auswirkungen auf die Anwendung ist der SAP-Sicherheitshinweis Nr. 3256787 mit einem CVSS-Wert von 8,4. Die behobene Sicherheitslücke ermöglicht es einem authentifizierten Administrator, bösartigen Code hochzuladen, der von der Anwendung über das Netzwerk ausgeführt werden kann. Obwohl die Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung als hoch eingestuft werden, ist der CVSS-Score niedriger als bei SAP-Sicherheitshinweis Nr . 3263135, da ein Angreifer für einen erfolgreichen Angriff einen Benutzer mit Administratorrechten benötigt.
Beitrag der Onapsis Research Labs
Zusätzlich zu der kritischen Sicherheitslücke im SAP Host Agent, die mit dem SAP-Sicherheitshinweis Nr . 3285757 behoben wurde, unterstützten die Onapsis Research Labs ORL) SAP bei der Behebung von neun Cross-Site-Scripting-Schwachstellen und drei URL-Umleitungs-Schwachstellen. Diese betreffen die folgenden Anwendungen:
- SAP NetWeaver AS für ABAP und Platform ABAP Platform
- SAP NetWeaver AS – ABAP Business Server Pages (Framework und Anwendung)
- SAP Solution Manager
- SAP Solution Manager (BSP-Anwendung)
Die gepatchten Softwarekomponenten sind:
- SAP_BASIS
- SAP_ABA
- ST
Der CVSS-Wert der entsprechenden Sicherheitslücken liegt zwischen 6,1 und 6,5. Die folgende Liste enthält eine kurze Übersicht über die Versionen und Support-Package-Stände (SP-Stände) der Komponenten, für die ein Patch erforderlich ist. Zur Gewährleistung der Genauigkeit sollte jedoch eine gründliche Überprüfung der Kundenversionen und Support-Packages durchgeführt werden:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Zusammenfassung und Schlussfolgerungen
Der SAP-Patch-Day im Februar bringt mehr als doppelt so viele Sicherheitshinweise mit sich wie der letzte Patch-Day. Da jedoch der regelmäßig wiederkehrende SAP-Sicherheitshinweis Nr. 2622660 für den SAP Business Client der einzige „HotNews“-Hinweis ist, dazu ein Hinweis mit hoher Priorität für den SAP Host Agent und zwei Hinweise mit hoher Priorität für SAP BusinessObjects, kann dieser SAP-Patch-Day als weniger kritisch eingestuft werden. Dennoch werden SAP-Administratoren diesen Monat aufgrund der großen Anzahl an Notes mit mittlerer Priorität, zu denen das ORL-Team den größten Teil beigetragen hat, wieder viel zu tun haben.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Wie immer Onapsis Research Labs bereits Onapsis Research Labs , die Platform zu aktualisieren und die neu veröffentlichten Sicherheitslücken in das Produkt zu integrieren, damit unsere Kunden ihre Unternehmen schützen können.
Wenn Sie mehr über die neuesten SAP-Sicherheitsprobleme und unsere kontinuierlichen Bemühungen erfahren möchten, Wissen mit der Sicherheits-Community zu teilen, abonnieren Sie unseren monatlichen „Defender’s Digest Onapsis“-Newsletter.