SAP-Patch-Tag: März 2024
Kritische Sicherheitslücke durch Code-Injektion in SAP NetWeaver AS Java
Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom März gehören:
- Zusammenfassung für März —Zwölf neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter drei HotNews-Hin weise und drei Hinweise mit hoher Priorität.
- SAP NetWeaver AS Java im Fokus — Eine kritische Code-Injection-Sicherheitslücke und drei Sicherheitslücken, die zur Offenlegung von Informationen führen, in verschiedenen Anwendungen und Komponenten.
- Onapsis Research Labs — Unser Team hat SAP bei der Behebung dieser drei Sicherheitslücken im Zusammenhang mit der Offenlegung von Informationen unterstützt.
SAP hat an seinem „Patch Day“ im März zwölf neue und aktualisierte Sicherheitshinweise veröffentlicht (einschließlich der Hinweise, die seit dem letzten „Patch Tuesday“ veröffentlicht oder aktualisiert wurden). Darunter befinden sich drei „ “-Hinweise, drei „HotNews“-Hinweise und dreiHinweise mit hoher Priorität.
Aktualisierte Hinweise im Detail
Einer der drei HotNews-Hinweise ist der regelmäßig erscheinende SAP-Sicherheitshinweis Nr. 2622660, der ein Update für den SAP Business Client einschließlich der neuesten unterstützten Chromium-Patches bereitstellt. Der SAP Business Client unterstützt nun Chromium-Version 121.0.6167.184, die insgesamt 29 Sicherheitslücken behebt, darunter zwei Sicherheitslücken mit kritischer und fünfzehn mit hoher Priorität . Der maximale CVSS-Wert aller behobenen Sicherheitslücken beträgt 9,8.
Der Sicherheitshinweis Nr. 3346500 mit hoher Priorität und einem CVSS-Wert von 8,8 ist ein aktualisierter SAP-Sicherheitshinweis, der eine Sicherheitslücke im Zusammenhang mit einer fehlerhaften Authentifizierung in Cloud SAP Commerce Cloud behebt. Die Sicherheitslücke ermöglicht es Benutzern, sich ohne Passphrase im System anzumelden. Cloud SAP Commerce Cloud sollten den Sicherheitshinweis lesen, da SAP die betroffenen Cloud SAP Commerce Cloud aktualisiert hat.
Die neuen HotNews -Notizen im Detail
Der SAP-Sicherheitshinweis Nr. 3425274, der mit einem CVSS-Wert von 9,4 bewertet wurde, betrifft alle Anwendungen, die mit SAP Build Apps-Versionen unter 4.9.145 erstellt wurden. Diese Versionen enthalten eine anfällige Version der Dienstprogramm-Bibliothek „lodash“, die es einem Angreifer ermöglicht, unbefugte Befehle auf dem System auszuführen. Dies kann zu einer geringen Beeinträchtigung der Vertraulichkeit sowie zu einer erheblichen Beeinträchtigung der Integrität und Verfügbarkeit der Anwendung führen. Das Problem kann behoben werden, indem alle betroffenen Anwendungen mit SAP Build Apps Version 4.9.145 oder höher neu erstellt werden.
Der SAP-Sicherheitshinweis Nr. 3433192, der mit einem CVSS-Score von 9,1 versehen ist, behebt eine kritische Code-Injection-Sicherheitslücke im Plug-in „Administrator Log Viewer“ von SAP NetWeaver AS Java. Die Liste der für die Upload-Funktion des Plug-ins definierten unzulässigen Dateitypen ist unvollständig. Ein Angreifer könnte schädliche Dateien hochladen, was zu einer Schwachstelle durch Befehlsinjektion führen würde. Dies würde es dem Angreifer ermöglichen, Befehle auszuführen, die erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung haben können. Der Patch enthält eine erweiterte Liste verbotener Dateitypen. Als zusätzliche Sicherheitsmaßnahme empfiehlt SAP, die Virenprüfung für den Upload zu aktivieren.
Die neuen SAP-Sicherheitshinweise mit hoher Priorität
Der SAP-Sicherheitshinweis Nr. 3410615, der mit einem CVSS-Wert von 7,5 versehen ist, behebt eine Denial-of-Service-Sicherheitslücke in SAP HANA XS Classic und HANA XS Advanced. Der Hinweis reiht sich ein in eine Reihe von SAP-Sicherheitshinweisen, die in den letzten Monaten veröffentlicht wurden und sich alle auf die Verwendung des HTTP/2-Protokolls im SAP Web Dispatcher beziehen. Der neue SAP-Sicherheitshinweis behebt eine Denial-of-Service-Sicherheitslücke, die im Zusammenhang mit der Verwendung von HTTP/2 besteht. Als vorübergehende Abhilfe kann HTTP/2 deaktiviert werden.
Der SAP-Sicherheitshinweis Nr. 3414195, der mit einem CVSS-Wert von 7,2 bewertet wurde, behebt eine Path-Traversal-Sicherheitslücke in Platform SAP BusinessObjects Business Intelligence Platform. Die Central Management Console der platform eine anfällige Version von Apache Struts, wodurch Benutzer mit hohen Berechtigungen erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung verursachen können.
Beitrag der Onapsis Research Labs
Die Onapsis Research Labs(ORL) unterstützten SAP bei der Behebung von drei Sicherheitslücken, die zur Offenlegung von Informationen führen konnten und in verschiedenen Anwendungen und Komponenten von SAP NetWeaver AS Java auftraten; alle wurden mit einem CVSS-Wert von 5,3 bewertet.
Der SAP-Sicherheitshinweis Nr . 3425682 behebt eine Sicherheitslücke im Web Service Reliable Messaging (WSRM) von SAP NetWeaver AS Java, die zur Offenlegung von Informationen führen kann. WSRM kann für einzelne Web-Service-Methoden aktiviert werden, um sicherzustellen, dass der Nachrichtenaustausch korrekt erfolgt – ohne dass Nachrichten verloren gehen oder doppelt übertragen werden. Es gewährleistet einen zuverlässigen Nachrichtenaustausch, selbst wenn die Verbindung zum Netzwerk unterbrochen wird. Unter bestimmten Umständen ermöglicht SAP NetWeaver WSRM einem Angreifer den Zugriff auf Informationen, die ansonsten eingeschränkt wären, was geringe Auswirkungen auf die Vertraulichkeit hat, jedoch keine Auswirkungen auf die Integrität und Verfügbarkeit der Anwendung.
Ähnliche Sicherheitslücken, die mit genau demselben CVSS-Vektor gekennzeichnet sind, werden für SAP NetWeaver Process Integration (Support-Webseiten) mit dem SAP-Sicherheitshinweis Nr. 3434192 und für SAP NetWeaver (Enterprise Portal) mit dem SAP-Sicherheitshinweis Nr . 3428847 behoben.
Zusammenfassung und Schlussfolgerung
Mit insgesamt zwölf neuen und aktualisierten SAP-Sicherheitshinweisen fällt der SAP-Patch-Day im März unterdurchschnittlich aus. Es ist jedoch zu beachten, dass drei „HotNews“-Hinweise und drei Hinweise mit hoher Prioritätbesondere Aufmerksamkeit erfordern, darunter die beiden, die lediglich aktualisiert wurden.
| SAP-Hinweis | Typ | Beschreibung | Priorität | CVSS |
| 3433192 | Neu | [CVE-2024-22127] Sicherheitslücke durch Code-Injektion in SAP NetWeaver AS Java (Plug-in „Administrator Log Viewer“) BC-JAS-ADM-LOG | Aktuelles | 9,1 |
| 3417399 | Neu | [CVE-2024-22133] Unzureichende Control SAP-Fiori-Frontend-Server- -PA-FIO-LEA | Mittel | 4,6 |
| 3377979 | Neu | [CVE-2024-27902] Cross-Site-Scripting-Sicherheitslücke (XSS) in SAP NetWeaver AS ABAP, Anwendungen auf Basis von SAPGUI for HTML (WebGUI) BC-FES-WGU | Mittel | 5,4 |
| 3434192 | Neu | [CVE-2024-28163] Sicherheitslücke durch Offenlegung von Informationen in SAP NetWeaver Process Integration (Support-Webseiten) BC-XI-IBF-UI | Mittel | 5,3 |
| 3425274 | Neu | [CVE-2019-10744] Sicherheitslücke durch Code-Injektion in Anwendungen, die mit SAP Build Apps erstellt wurden CA-LCA-ACP | Aktuelles | 9,4 |
| 3425682 | Neu | [CVE-2024-25644] Sicherheitslücke durch Offenlegung von Informationen in SAP NetWeaver (WSRM) BC-ESI-WS-JAV-RT | Mittel | 5,3 |
| 3428847 | Neu | [CVE-2024-25645] Sicherheitslücke durch Offenlegung von Informationen in SAP NetWeaver (Enterprise Portal) EP-PIN-APF-OPR | Mittel | 5,3 |
| 3414195 | Neu | [CVE-2023-50164] Path-Traversal-Sicherheitslücke in Platform SAP BusinessObjects Business Intelligence Platform Central Management Console) BI-BIP-CMC | Hoch | 7,2 |
| 3410615 | Neu | [CVE-2023-44487] Denial-of-Service (DoS) in SAP HANA XS Classic und HANA XS Advanced HAN-AS-XS | Hoch | 7,5 |
| 2622660 | Aktualisierung | Sicherheitsupdates für das control Chromium“, das mit dem SAP Business Client BC-FES-BUS-DSK ausgeliefert wird | Aktuelles | 10,0 |
| 3419022 | Neu | [CVE-2024-27900] Fehlende Berechtigungsprüfung in Platform SAP ABAP Platform- BC-SRV-APS-APJ | Mittel | 4,3 |
| 3346500 | Aktualisierung | [CVE-2023-39439] Unsachgemäße Authentifizierung in SAP Commerce Cloud CEC-SCC-PLA-PL | Hoch | 8,8 |
Onapsis Research Labs aktualisiert die Platform Onapsis Research Labs mit den neuesten threat intelligence Sicherheitsempfehlungen, damit unsere Kunden den sich ständig weiterentwickelnden Bedrohungen immer einen Schritt voraus sind und ihre Unternehmen schützen können.
Weitere Informationen zu den aktuellen SAP-Sicherheitsproblemen und unseren kontinuierlichen Bemühungen, Wissen mit der Sicherheits-Community zu teilen, finden Sie in unseren früheren „Patch Day“-Blogbeiträgen. Abonnieren Sie außerdem unseren monatlichen „Defenders Digest“-Newsletter.