SAP-Patch-Tag: Mai 2024
Onapsis Research Labs SAP bei der Behebung einer kritischen Sicherheitslücke beim Hochladen von Dateien im SAP NetWeaver Application Server ABAP und in Platform
Autor: Thomas Fritsch
Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom Mai gehören:
- Zusammenfassung für Mai — Siebzehn neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter drei HotNews -Hinweise und ein Hinweis mit hoher Priorität.
- Aktuelles Hinweis zu SAP CX Commerce — Zwei Sicherheitslücken wurden behoben, die beide ein hohes Risiko für die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung darstellten.
- Onapsis Research Labs – Unser Team hat SAP dabei unterstützt, einen HotNews- und zwei Hinweise mit mittlerer Priorität zu beheben.
SAP hat an seinem Patch Day im Mai siebzehn SAP-Sicherheitshinweise veröffentlicht (einschließlich der Hinweise, die seit dem letzten Patch Tuesday veröffentlicht oder aktualisiert wurden). Darunter befinden sich „ “, drei „HotNews“-Hinweise und einHinweis mit hoher Priorität.
Einer der drei HotNews-Hinweise im Mai ist der regelmäßig erscheinende SAP-Sicherheitshinweis Nr. 2622660, der die neuesten Chromium-Sicherheitslücken für den SAP Business Client behebt. Er behebt 23 Chromium-Sicherheitslücken, darunter 13 Patches mit hoher Priorität. Der maximale CVSS-Wert aller behobenen Sicherheitslücken wurde von SAP noch nicht angegeben.
Die neuen HotNews -Notizen im Detail
Der SAP-Sicherheitshinweis Nr . 3455438, der mit einem CVSS-Wert von 9,8 bewertet wurde, behebt zwei kritische Sicherheitslücken in SAP Customer Experience (CX) Commerce.
Beide Sicherheitslücken werden durch externe Bibliotheken verursacht, die in Cloud SAP Commerce Cloud verwendet werden:
- Die Swagger-UI-Bibliothek ist anfällig für CVE-2019-17495 (CSS-Injection), wodurch ein Angreifer in CSS-basierten Eingabefeldern die „Relative Path Overwrite“-Technik (RPO) ausführen kann.
- Die Apache Calcite Avatica-Bibliothek, Version 1.18.0, ist anfällig für die Sicherheitslücke CVE-2022-36364 (Remote-Code-Ausführung). Der JDBC-Treiber dieser Bibliothek überprüft vor der Instanziierung von Klassen nicht, ob die erwarteten Schnittstellen vorhanden sind, was die Ausführung von Code ermöglicht, der über beliebige Klassen geladen wird, und in seltenen Fällen zu einer Remote-Code-Ausführung führen kann.
Die zweite Sicherheitslücke wurde mit einem CVSS-Wert von 8,8 bewertet (im Vergleich zu 9,8 bei der ersten), da der Angreifer für einen erfolgreichen Angriff nur über minimale Berechtigungen verfügen muss.
Das SAP Commerce Cloud Release 2205.24 enthält die korrigierten Versionen der betroffenen Bibliotheken.
Der SAP-Sicherheitshinweis Nr. 3448171 mit einem CVSS-Wert von 9,6 ist der zweite neue HotNews-Hinweis. Er behebt eine kritische Sicherheitslücke beim Hochladen von Dateien in SAP NetWeaver Application Server ABAP und ABAP Platform.
Die Onapsis Research Labs ORL) haben festgestellt, dass aufgrund einer fehlenden Signaturprüfung für zwei Content-Repositorys ein nicht authentifizierter Angreifer eine schädliche Datei auf den Server hochladen kann, die es einem Angreifer ermöglicht, das System vollständig zu kompromittieren, sobald ein Opfer darauf zugreift.
Wichtig: SAP stellt mit den im Hinweis genannten Support-Paketen eine sichere Standardkonfiguration bereit. Es wird darauf hingewiesen, dass dies nur neue Installationen betrifft und Administratoren daher nach dem Upgrade auf den jeweiligen Support-Paket-Stand manuelle Konfigurationsänderungen vornehmen müssen. Der Hinweis verweist auf den Knowledge-Base-Artikel Nr. 3448453, der zum Zeitpunkt der Erstellung dieses Blogbeitrags noch in Bearbeitung war.
Die neue Notiz mit hoher Priorität im Detail
Der SAP-Sicherheitshinweis Nr. 3431794, der mit einem CVSS-Wert von 8,1 bewertet wurde, behebt eine Cross-Site-Scripting-Sicherheitslücke in Platform SAP BusinessObjects Business Intelligence Platform. Aufgrund unzureichender Validierung von Benutzereingaben kann ein Angreifer einen Parameter in der Opendocument-URL manipulieren. Ein erfolgreicher Angriff kann erhebliche Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung haben.
Weitere Beiträge der Onapsis Research Labs
Zusätzlich zu HotNews Note #3448171 trug das ORL zur Behebung von zwei Cross-Site-Scripting-Schwachstellen bei, die beide mit einem CVSS-Wert von 6,1 bewertet wurden.
Der SAP-Sicherheitshinweis Nr. 3460772 deaktiviert den veralteten Document-Service-Handler des Data Provisioning Service in SAP S/4HANA. Aufgrund einer unzureichenden Kodierung benutzergesteuerter Eingaben ist dieser Handler anfällig für Cross-Site-Scripting (XSS).
Das ORL hat eine weitere Cross-Site-Scripting-Sicherheitslücke in SAP NetWeaver Application Server ABAP und Platform entdeckt. Aufgrund fehlender Eingabevalidierung und Ausgabekodierung nicht vertrauenswürdiger Daten kann ein nicht authentifizierter Angreifer bösartigen JavaScript-Code in eine dynamisch erstellte Webseite einschleusen. Eine erfolgreiche Ausnutzung ermöglicht das Auslesen und Ändern sensibler Informationen. Der SAP-Sicherheitshinweis Nr. 3450286 enthält den erforderlichen Patch, der eine ordnungsgemäße Kodierung gewährleistet.
Zusammenfassung und Schlussfolgerungen
Mit siebzehn Sicherheitshinweisen ist der SAP-Patch-Day im Mai eher durchschnittlich ausgefallen. Die Onapsis Research Labs SAP erneut dabei unterstützt, drei Sicherheitslücken zu schließen, darunter eine sehr kritische Sicherheitslücke beim Datei-Upload im SAP NetWeaver Application Server ABAP und in Platform.
| SAP-Hinweis | Typ | Beschreibung | Priorität | CVSS |
| 2622660 | Aktualisierung | Sicherheitsupdates für das control Chromium“, das mit dem SAP Business Client BC-FES-BUS-DSK ausgeliefert wird | Aktuelles | 10,0 |
| 3455438 | Neu | [CVE-2019-17495] Mehrere Sicherheitslücken in SAP CX Commerce CEC-SCC-PLA-PL | Aktuelles | 9,8 |
| 3448171 | Neu | [CVE-2024-33006] Sicherheitslücke beim Hochladen von Dateien in SAP NetWeaver Application Server ABAP und ABAP Platform BC-SRV-KPR-CMS | Aktuelles | 9,6 |
| 3431794 | Neu | [CVE-2024-28165] Cross-Site-Scripting-Sicherheitslücke in Platform SAP BusinessObjects Business Intelligence Platform BI-BIP-INV | Hoch | 8,1 |
| 3448445 | Neu | [CVE-2024-34687] Cross-Site-Scripting-Sicherheitslücke (XSS) im SAP NetWeaver Application Server für ABAP und in der Platform- BC-SRV-GBT-GOS | Mittel | 6,5 |
| 3441944 | Aktualisierung | [CVE-2024-32730] Fehlende Berechtigungsprüfung im SAP Enable Now Manager KM-SEN-MGR | Mittel | 6,5 |
| 3460772 | Neu | [CVE-2024-33002] Cross-Site-Scripting-Sicherheitslücke (XSS) in SAP S/4HANA (Document Service Handler für DPS) BC-EIM-ESH | Mittel | 6,1 |
| 3450286 | Neu | [CVE-2024-32733] Cross-Site-Scripting-Sicherheitslücke (XSS) in SAP NetWeaver Application Server ABAP und ABAP Platform BC-MID-AC | Mittel | 6,1 |
| 3447467 | Neu | [CVE-2024-32731] Fehlende Berechtigungsprüfung in SAP My Travel Requests FI-TV-ODT-MTR | Mittel | 5,5 |
| 2745860 | Aktualisierung | Offenlegung von Informationen im Enterprise Services Repository von SAP Process Integration BC-XI-IBD-INF | Mittel | 5,3 |
| 3349468 | Neu | [CVE-2024-33008] Sicherheitslücke durch Speicherbeschädigung im SAP Replication Server BC-SYB-REP | Mittel | 4,9 |
| 3449093 | Neu | [CVE-2024-33004] Sicherheitslücke durch unsichere Speicherung in Platform SAP BusinessObjects Business Intelligence Platform Webservices) BI-BIP-INV | Mittel | 4,3 |
| 3434666 | Neu | [Mehrere CVEs] Fehlende Autorisierungsprüfungen in SAP S/4 HANA (Verwaltung von Regeln zur Nachbearbeitung von Kontoauszügen) FI-FIO-AR-PAY | Mittel | 4,3 |
| 2174651 | Aktualisierung | Mögliche Offenlegung von Informationen im Zusammenhang mit dem PI-Integrationsverzeichnis BC-XI-IBC | Mittel | 4,3 |
| 1938764 | Neu | [CVE-2024-33009] SQL-Injection-Sicherheitslücke in SAP Global Label Management (GLM) EHS-SAF-GLM | Mittel | 4,2 |
| 3392049 | Neu | [CVE-2024-33000] Fehlende Autorisierungsprüfung im SAP-Bankkontenmanagement FIN-FSCM-CLM-BAM | Niedrig | 3,5 |
| 3446076 | Neu | [CVE-2024-33007] Sicherheitslücke bei der Ausführung von Skripten auf der Client-Seite in SAP UI5 (PDFViewer) CA-UI5-SC | Niedrig | 3,5 |
Wie immer Onapsis Research Labs die Platform bereits aktualisiert und die neu veröffentlichten Sicherheitslücken in das Produkt integriert, damit unsere Kunden ihre Unternehmen schützen können.
Wenn Sie mehr über die neuesten SAP-Sicherheitsprobleme und unsere kontinuierlichen Bemühungen erfahren möchten, Wissen mit der Sicherheits-Community zu teilen, abonnieren Sie unseren monatlichen „Defender’s Digest Onapsis“-Newsletter.