SAP-Patch-Tag: Juni 2024
Wichtige Hinweise zu SAP NetWeaver AS Java und SAP Financial Consolidation
Autor: Thomas Fritsch
Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom Juni gehören:
- Zusammenfassung für Juni — Zwölf neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter zwei Hinweise mit hoher Priorität
- SAP-Hinweise mit hoher Priorität — SAP NetWeaver AS Java und SAP Financial Consolidation betroffen
- Onapsis Research Labs — Unser Team hat SAP dabei unterstützt, im Juni 50 % aller neuen SAP-Sicherheitshinweise zu beheben
SAP hat im Rahmen seines Patch Day im Juni zwölf neue und aktualisierte SAP-Sicherheitshinweise veröffentlicht, darunter zwei Hinweise mit hoher Priorität. Fünf der zehn neuen Sicherheitshinweise wurden in Zusammenarbeit mit den Onapsis Research Labs veröffentlicht.
Die Notizen mit hoher Priorität im Detail
Der SAP-Sicherheitshinweis Nr. 3457592 mit einem CVSS-Wert von 8,1 ist der Hinweis mit dem höchsten CVSS-Wert im Juni. Er behebt zwei Cross-Site-Scripting-Schwachstellen in SAP Financial Consolidation. Die schwerwiegendere davon ermöglicht es, Daten aus einer nicht vertrauenswürdigen Quelle in eine Webanwendung einzuschleusen und den Inhalt der Website zu manipulieren. Dies hat erhebliche Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung.
Der SAP-Sicherheitshinweis Nr. 3460407 ist der zweite Hinweis mit hoher Priorität im Juni. Mit einem CVSS-Wert von 7,5 wird er etwas niedriger eingestuft als Nr. 3457592. Da sie jedoch SAP NetWeaver AS Java betrifft, ist es sehr wahrscheinlich, dass mehr SAP-Kunden und -Systeme von dieser Sicherheitsmitteilung betroffen sind. Die Mitteilung behebt eine Denial-of-Service-Sicherheitslücke in den Meta Model Repository-Diensten. Der Zugriff auf diese Dienste war nicht eingeschränkt und ermöglichte es Angreifern, DoS-Angriffe auf die Anwendung durchzuführen, wodurch legitime Benutzer an der Nutzung der Anwendung gehindert wurden.
Beitrag von Onapsis
Unser Team bei Onapsis Research Labs ORL) wächst stetig, und unsere neuen Teammitglieder aus Rumänien konnten bereits einen wesentlichen Beitrag zu einigen der Sicherheitshinweise vom Juni leisten.
Der SAP-Sicherheitshinweis Nr. 3453170, der mit einem CVSS-Wert von 6,5 versehen ist, behebt eine Denial-of-Service-Sicherheitslücke in SAP NetWeaver AS ABAP und platform. Ein RFC-fähiger Funktionsbaustein des Early Watch Alert Reporting misst die CPU-Zeit eines Referenzprozesses, wobei die Anzahl der Wiederholungen über einen Eingabeparameter gesteuert werden konnte. Da der Wert nicht eingeschränkt war, konnte ein Angreifer den Funktionsbaustein mit einem sehr hohen Wert für diesen Parameter aufrufen. Der mehrfache parallele Aufruf des Funktionsbausteins konnte dazu führen, dass alle Workprozesse vollständig blockiert wurden und das System somit nicht mehr verfügbar war.
Der SAP-Sicherheitshinweis Nr. 3459379, der ebenfalls mit einem CVSS-Wert von 6,5 versehen ist, beschreibt eine Sicherheitslücke im Zusammenhang mit dem uneingeschränkten Hochladen von Dateien im HTTP-Dienst des SAP Document Builder. Der Dienst ermöglichte es Benutzern, Dateianhänge ohne Virenprüfung hochzuladen. Nach der Installation des Patches wird dringend empfohlen, zusätzlich die Einstellungen des Virenprüfungsprofils des Systems zu überprüfen. Informationen zur Überprüfung dieser Einstellungen finden Sie im Abschnitt „Manuelle Aktivitäten“ des Sicherheitshinweises.
Der SAP-Sicherheitshinweis Nr. 3465129, der mit einem CVSS-Wert von 6,1 versehen ist, behebt eine Cross-Site-Scripting-Sicherheitslücke in SAP CRM. Das ORL stellte fest, dass eine unzureichende Eingabevalidierung in der WebClient-Benutzeroberfläche es einem Angreifer ermöglichte, ein bösartiges Skript in einen Link einzubetten. Wenn ein Opfer auf diesen Link klickt, wird das Skript im Browser des Opfers ausgeführt, wodurch der Angreifer die Möglichkeit erhält, auf Informationen zuzugreifen und/oder diese zu verändern, was Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung hat. Kunden sind von dieser Schwachstelle nur betroffen, wenn sie zuvor den SAP-Hinweis Nr. 3328365 angewendet haben oder sich auf dem entsprechenden Support-Package-Stand dieses SAP-Hinweises befinden.
Das ORL-Team hat darüber hinaus eine Sicherheitslücke in Form einer fehlenden Berechtigungsprüfung in einem remote-fähigen Funktionsbaustein des SAP Student Life Cycle Management (SLcM) entdeckt. Bei erfolgreicher Ausnutzung könnten Angreifer auf normalerweise eingeschränkte, nicht sensible Berichtsvarianten zugreifen und diese bearbeiten. Der SAP-Sicherheitshinweis Nr. 3457265, der mit einem CVSS-Score von 5,4 versehen ist, behebt das Problem. Dem anfälligen Funktionsbaustein wurde für den Fall eines externen Aufrufs eine umschaltbare Autorisierungsprüfung hinzugefügt.
Der SAP-Sicherheitshinweis Nr. 3425571, der mit einem CVSS-Wert von 5,3 versehen ist, behebt eine Sicherheitslücke, die zur Offenlegung von Informationen führt, in der Komponente „Guided Procedures“ von SAP NetWeaver AS Java. Die Sicherheitslücke wird unter der Kennung CVE-2024-28164 geführt und ermöglichte es einem nicht authentifizierten Benutzer, auf nicht sensible Informationen über den Server zuzugreifen, die andernfalls eingeschränkt zugänglich wären.
Zusammenfassung und Schlussfolgerungen
Mit nur zwölf Sicherheitshinweisen war der Patch Day von SAP im Juni erneut ein ruhiger Patch Day. Wir freuen uns, dass die Onapsis Research Labs erneut einen wesentlichen Beitrag zur Erhöhung der Sicherheit von SAP-Anwendungen Onapsis Research Labs . SAP-Kunden können in den kommenden Monaten noch viel mehr von den ORL erwarten.
| SAP-Hinweis | Typ | Beschreibung | Priorität | CVSS |
| 3457592 | Neu | [CVE-2024-37177] Cross-Site-Scripting-Schwachstellen (XSS) in SAP Financial Consolidation EPM-BFC-TCL | Hoch | 8,1 |
| 3460407 | Neu | [CVE-2024-34688] Denial-of-Service (DoS) in SAP NetWeaver AS Java (Meta Model Repository) BC-DWB-JAV-MMR | Hoch | 7,5 |
| 3453170 | Neu | [CVE-2024-33001] Denial-of-Service (DoS) in SAP NetWeaver und platform ABAP platform SV-SMG-SDD | Mittel | 6,5 |
| 3459379 | Neu | [CVE-2024-34683] Uneingeschränkter Datei-Upload im SAP Document Builder (HTTP-Dienst) CA-GTF-DOB | Mittel | 6,5 |
| 3466175 | Neu | [CVE-2024-34691] Fehlende Autorisierungsprüfung in SAP S/4HANA (Verwaltung von Zahlungseingangsdateien) FI-FIO-AR-PAY | Mittel | 6,5 |
| 3465129 | Neu | [CVE-2024-34686] Cross-Site-Scripting-Sicherheitslücke (XSS) in SAP CRM (WebClient-Benutzeroberfläche) CA-WUI-UI | Mittel | 6,1 |
| 3450286 | Aktualisierung | [CVE-2024-32733] Cross-Site-Scripting-Sicherheitslücke (XSS) in SAP NetWeaver Application Server ABAP und ABAP Platform BC-MID-AC | Mittel | 6,1 |
| 3465455 | Neu | [CVE-2024-37176] Fehlende Autorisierungsprüfung in SAP BW/4HANA-Transformations- und DTP- BW4-DM-TRFN | Mittel | 5,5 |
| 3457265 | Neu | [CVE-2024-34690] Fehlende Berechtigungsprüfung im SAP Student Life Cycle Management (SLcM) IS-HER-CM-AD | Mittel | 5,4 |
| 3425571 | Neu | [CVE-2024-28164] Sicherheitslücke durch Offenlegung von Informationen in SAP NetWeaver AS Java (Guided Procedures) BC-GP | Mittel | 5,3 |
| 2638217 | Aktualisierung | Konfigurierbare Berechtigungsprüfungen in den Komponenten der zentralen Finanzinfrastruktur FI-CF-INF | Niedrig | 3,9 |
| 3441817 | Neu | [CVE-2024-34684] Sicherheitslücke durch Offenlegung von Informationen in Platform SAP BusinessObjects Business Intelligence Platform Scheduling) BI-BIP-PUB | Niedrig | 3,7 |
Wie immer Onapsis Research Labs die Onapsis Research Labs bereits Onapsis Research Labs , die Platform zu aktualisieren und die neu veröffentlichten Sicherheitslücken in das Produkt zu integrieren, damit unsere Kunden ihre Unternehmen schützen können.
Wenn Sie mehr über die neuesten SAP-Sicherheitsprobleme und unsere kontinuierlichen Bemühungen erfahren möchten, Wissen mit der Sicherheits-Community zu teilen, abonnieren Sie unseren monatlichen „Defender’s Digest Onapsis“-Newsletter.