SAP-Patch-Tag: Januar 2024
Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom Januar gehören:
- Zusammenfassung für Januar– 12 neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter drei HotNews-Hinweise und vier Hinweise mit hoher Priorität
- SAP HotNews-Hinweise– Weitere SAP-Lösungen und bestehende kundeneigene Anwendungen auf Basis von Node.js sind betroffen
- Onapsis Research Labs – Unser Team hat SAP dabei unterstützt, eine Sicherheitslücke im SAP ICM und im SAP Web Dispatcher zu beheben, die in „In Disclosure“ beschrieben wurde
Das neue SAP-Sicherheitsjahr hat mit 12 neuen und aktualisierten SAP-Sicherheitshinweisen begonnen, darunter drei HotNews-Hinweise und vier Hinweise mit hoher Priorität.
Der SAP HotNews-Sicherheitshinweis Nr. 3411067, der mit einem CVSS-Wert von 9,1 versehen ist, wurde ursprünglich im Dezember 2023 veröffentlicht und behebt eine kritische Sicherheitslücke, die eine Rechteausweitung in SAP BTP Services Integration Libraries und der Programming Infrastructure ermöglicht. Die Schwachstellen werden unter den KennungenCVE-2023-49583,CVE-2023-50422,CVE-2023-50423 undCVE-2023-50424 geführt.
Der Hinweis wurde einen Tag nach dem Dezember-Patch-Day mit zusätzlichen Informationen in mehreren Textabschnitten aktualisiert. Kunden, die den Patch bereits installiert haben, sind nicht betroffen.
Die neuenHotNewsim Detail
SAP hat weitere Anwendungen identifiziert, die von einer oder mehreren der CVEs betroffen sein können, die in der SAP-Sicherheitsmitteilung Nr. 3411067 behandelt wurden.
Der SAP-Sicherheitshinweis Nr. 3413475, der mit einem CVSS-Score von 9,1 versehen ist, behebt eine Sicherheitslücke in SAP Edge Integration Cell, die eine Rechteausweitung ermöglicht und aufdie CVE-2023-49583sowieCVE-2023-50422 zurückzuführen ist. SAP Edge Integration Cell basiert auf SAP BTP Services Integration Libraries und Programming Infrastructures und ist eine Hybridlösung, die zusammen mit der SAP Integration Suite angeboten wird, um eine API-gesteuerte Integration zu ermöglichen. SAP hat die Version 8.9.13 von SAP Edge Integration Cell veröffentlicht, die die Sicherheitslücke behebt. Ältere, nicht gepatchte Versionen ermöglichen es nicht authentifizierten Angreifern, beliebige Berechtigungen innerhalb der Anwendung zu erlangen.
Der SAP-Sicherheitshinweis Nr. 3412456, der mit einem CVSS-Wert von 9,1 versehen ist, richtet sich an SAP-Kunden, die über bestehende Node.js-Anwendungen verfügen, die mit SAP Business Application Studio, SAP Web IDE Full-Stack oder SAP Web IDE for SAP HANA erstellt wurden. Solche Anwendungen können ebenfalls vonderoben erwähntenCVE-2023-49583betroffen sein, da ihre Abhängigkeiten möglicherweise auf anfällige Versionen der Bibliotheken@sap/approuterund@sap/xssec verweisen. Daher empfiehlt der Hinweis#3412456, die Abhängigkeiten bestehender Node.js-Anwendungen auf die neuesten Versionen dieser Bibliotheken zu aktualisieren, die mit dem SAP-Sicherheitshinweis#3411067 eingeführt wurden.
DieHotPriority-Notizen im Detail
Der SAP-Sicherheitshinweis Nr. 3411869, der mit einem CVSS-Score von 8,4 bewertet wurde, behebt eine Code-Injection-Sicherheitslücke im SAP Application Interface Framework (File Adapter). Ein anfälliger Funktionsbaustein der Anwendung ermöglicht es einem Angreifer, verschiedene Schichten zu durchlaufen und Betriebssystembefehle direkt auszuführen. Erfolgreiche Angriffe können erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung haben. SAP hat bereits 2012 mit dem SAP-Sicherheitshinweis Nr. 1673713 eine SQL-Injection-Sicherheitslücke des betroffenen Funktionsbausteins behoben. Aufgrund der nun entdeckten, schwerwiegenderen Sicherheitslücke durch Betriebssystembefehlsinjektion und angesichts der Tatsache, dass der Funktionsbaustein inzwischen als veraltet gekennzeichnet wurde, hat SAP beschlossen, den gesamten Funktionsbaustein mit dem SAP-Sicherheitshinweis Nr. 3411869 zu deaktivieren.
Der SAP-Sicherheitshinweis Nr. 3389917, der mit einem CVSS-Wert von 7,5 bewertet wurde, betrifft den eigenständigen SAP Web Dispatcher, den in die ASCS-Instanz eingebetteten SAP Web Dispatcher sowie den Internet Communication Manager (ICM) im SAP NetWeaver Application Server ABAP. Wenn die Schwachstelle nicht behoben wird, ermöglicht sie es einem nicht authentifizierten Angreifer, über das Netzwerk einen DOS-Angriff durchzuführen, indem er eine große Anzahl von HTTP/2-Anfragen generiert und diese später abbricht. Angreifer könnten diese Technik nutzen, um den Speicher zu überfluten und die Verfügbarkeit der Anwendung erheblich zu beeinträchtigen. Die Schwachstelle betrifft nur das HTTP/2-Protokoll. HTTP/1 ist nicht betroffen.
Der SAP-Sicherheitshinweis Nr. 3386378, der mit einem CVSS-Wert von 7,4 versehen ist, behebt eine Sicherheitslücke im Zusammenhang mit der Offenlegung von Informationen in der Browsererweiterung für Microsoft Edge (SAP GUI Connector für Microsoft Edge). Der Hinweis enthält keine Details zur Sicherheitslücke, aber es scheint, als seien zu viele Informationen in die URL-Header eingefügt worden, wodurch sensible Daten offengelegt wurden. SAP empfiehlt, den SAP GUI Connector für Microsoft Edge, Version 3.0, herunterzuladen und zu installieren, der unterhttps://microsoftedge.microsoft.com/addons/detail/sap-gui-connector-for-mic/mhpigfckgphoiifbehgajfbkocihbaho verfügbar ist. Der Hinweis beschreibt außerdem eine Abhilfe, die auf der Einschränkung des Zugriffs auf bestimmte Websites basiert. Wie immer weist SAP jedoch darauf hin, dass es sich bei dieser Abhilfe um eine vorübergehende Maßnahme und nicht um eine dauerhafte Lösung handelt.
Um eine Sicherheitslücke aufgrund einer fehlerhaften Autorisierungsprüfung im SAP LT Replication (LTR)-Server zu beheben, ist eine manuelle Korrektur erforderlich. Gemäß dem SAP-Sicherheitshinweis Nr. 3407617, der mit einem CVSS-Wert von 7,3 versehen ist, müssen Kunden den LTR-Jobs einen Job-Benutzer zuweisen, der über die Rolle SAP_IUUC_REPL_ADMIN sowie alle regelspezifischen Berechtigungen verfügt. Es ist möglich, dass wir in naher Zukunft mit einer Aktualisierung dieses Hinweises rechnen können, da die Lösung unvollständig zu sein scheint. Im Abschnitt „Lösung“ des Hinweises heißt es, dass die „Berechtigungsprüfung genehmigt wurde“. Man würde also einige aktualisierte Workbench-Objekte erwarten und nicht nur eine Anpassung des betroffenen Benutzers und der zugewiesenen Berechtigungen. Zum Zeitpunkt der Erstellung dieses Blogbeitrags enthält der Hinweis keine automatische Korrektur für Workbench-Objekte.
Beitrag von Onapsis
The Onapsis Research Labs (ORL) supported SAP in patching an Information Disclosure vulnerability in SAP Internet Communication Manager (ICM) and SAP Web Dispatcher. The vulnerability was detected by our ORL team during a pen test. They recognized that under certain conditions, SAP ICM and SAP Web Dispatcher could allow an attacker to access information which would otherwise be restricted. The vulnerability may occur when the HTTP logging handler is configured to log cookies or all the request/response headers via the profile parameter icm/HTTP/logging_<x> or icm/HTTP/logging_client_<x>, using specific patterns for the LOGFORMAT parameter. The corresponding SAP Security Note #3392626 is tagged with a CVSS score of 4.1 and refers to the appropriate kernel and SAP Web Dispatcher patches.
Zusammenfassung und Schlussfolgerungen
Mit nur zwölf Sicherheitshinweisen hat das Jahr 2024 mit einem ruhigen Patch Day begonnen. Da diese Zahl jedoch zwei neue HotNews und vier Hinweise mit hoher Priorität umfasst, sollten alle betroffenen Kunden die entsprechenden Patches so schnell wie möglich installieren, um zu verhindern, dass das neue Jahr mit unangenehmen Überraschungen beginnt.
| SAP-Hinweis | Typ | Beschreibung | Priorität | CVSS |
| 3324732 | Aktualisierung | [CVE-2023-31405] Sicherheitslücke durch Log-Injection in SAP NetWeaver AS for Java (Log Viewer) BC-JAS-SEC | Mittel | 5,3 |
| 3413475 | Neu | [Mehrere CVEs] Rechteausweitung in der SAP Edge Integration Cell BC-CP-IS-EDG-DPL | Aktuelles | 9,1 |
| 3407617 | Neu | [CVE-2024-21735] Fehlerhafte Autorisierungsprüfung im SAP LT Replication Server CA-LT-SLT | Hoch | 7,3 |
| 3412456 | Neu | [CVE-2023-49583] Rechteausweitung in Anwendungen, die mit SAP Business Application Studio, SAP Web IDE Full-Stack und SAP Web IDE for SAP HANA entwickelt wurden (CA-BAS-S8D) | Aktuelles | 9,1 |
| 3260667 | Neu | [CVE-2024-21736] Fehlende Berechtigungsprüfung in SAP S/4HANA Finance (Advanced Payment Management) FIN-FSCM-PF-IHB | Mittel | 6,4 |
| 3190894 | Neu | [CVE-2024-21734] Sicherheitslücke durch URL-Umleitung in SAP Marketing (Contacts App) CEC-MKT-DM-CON | Niedrig | 3,7 |
| 3386378 | Neu | [CVE-2024-22125] Sicherheitslücke durch Offenlegung von Informationen in der Microsoft Edge-Browsererweiterung (SAP GUI Connector für Microsoft Edge) BC-FES-CTL | Hoch | 7,4 |
| 3392626 | Neu | [CVE-2024-22124] Sicherheitslücke durch Offenlegung von Informationen im SAP NetWeaver Internet Communication Manager BC-CST-IC | Mittel | 4,1 |
| 3389917 | Neu | [CVE-2023-44487] Denial-of-Service (DoS) im SAP Web Dispatcher, im SAP NetWeaver Application Server ABAP und in Platform ABAP Platform | Hoch | 7,5 |
| 3411869 | Neu | [CVE-2024-21737] Sicherheitslücke durch Code-Injektion im SAP Application Interface Framework (Datei-Adapter) BC-SRV-AIF | Hoch | 8,4 |
| 3387737 | Neu | [CVE-2024-21738] Cross-Site-Scripting-Sicherheitslücke (XSS) im SAP NetWeaver ABAP Application Server und in der ABAP Platform | Mittel | 4,1 |
| 3411067 | Aktualisierung | [Mehrere CVEs] Rechteausweitung in den Integrationsbibliotheken der Sicherheitsdienste Platform SAP Business Technology Platform BTP) BC-CP-CF-SEC-LIB | Aktuelles | 9,1 |
Wie immer Onapsis Research Labs die Onapsis Research Labs bereits Onapsis Research Labs ,die Platformzu aktualisieren und die neu veröffentlichten Sicherheitslücken in das Produkt zu integrieren, damit unsere Kunden ihre Unternehmen schützen können.
Wenn Sie mehr über die neuesten SAP-Sicherheitsprobleme und unsere kontinuierlichen Bemühungen erfahren möchten, Wissen mit der Sicherheits-Community zu teilen, abonnieren Sie unseren monatlichen„Defender’s Digest Onapsis“-Newsletter.