SAP-Patch-Tag: November 2024
Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom November gehören:
- Zusammenfassung für November — Zehn neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter zwei Hinweise mit hoher Priorität
- SAP-Hinweise mit hoher Priorität — Eine Cross-Site -Scripting-Sicherheitslücke im SAP Web Dispatcher ermöglicht die Ausführung von beliebigem Code auf dem Server
- Onapsis Research Labs — Unser Team hat SAP im November dabei unterstützt, drei Sicherheitslücken zu schließen
SAP hat im Rahmen seines Patch Day im November zehn neue und aktualisierte SAP-Sicherheitshinweise veröffentlicht, darunter zwei Hinweise mit hoher Priorität. Drei Sicherheitshinweise wurden unter Mitwirkung der Onapsis Research Labs veröffentlicht.
Der SAP-Sicherheitshinweis Nr . 3483344 mit hoher Priorität und einem CVSS-Wert von 7,7 ist eine Aktualisierung eines Hinweises, der ursprünglich am SAP-Patch-Day im Juli veröffentlicht wurde. Die Onapsis Research Labs ORL) haben eine Sicherheitslücke aufgrund einer fehlenden Berechtigungsprüfung in SAP Product Design Cost Estimating (SAP PDCE) entdeckt. Ein remote-fähiger Funktionsbaustein in SAP PDCE ermöglicht es einem Angreifer, generische Tabellendaten aus der Ferne auszulesen, und stellt somit ein hohes Risiko für die Vertraulichkeit des Systems dar. Der Patch deaktiviert den anfälligen Funktionsbaustein. In der Aktualisierungsnotiz wurde ein Patch für die Softwarekomponente SEM-BW 600 hinzugefügt.
Die neue Notiz mit hoher Priorität
Der SAP-Sicherheitshinweis Nr. 3520281 mit einem CVSS-Wert von 8,8 ist der einzige neue Hinweis mit hoher Priorität im November. Das ORL hat ein Szenario im SAP Web Dispatcher identifiziert, das es einem nicht authentifizierten Angreifer ermöglicht, einen bösartigen Link zu veröffentlichen. Wenn ein authentifizierter Benutzer mit Administratorrechten auf diesen Link klickt, werden Eingabedaten bei der Generierung der Webseite verwendet, um Inhalte zu erstellen, die bei Ausführung im Browser des Opfers (XSS) oder bei Übertragung an einen anderen Server (SSRF) dem Angreifer die Möglichkeit geben, beliebigen Code auf dem Server auszuführen. Dies kann zu einer vollständigen Kompromittierung von Vertraulichkeit, Integrität und Verfügbarkeit führen. Die Sicherheitslücke betrifft nur Kunden, bei denen die Admin-Benutzeroberfläche des SAP Web Dispatcher aktiviert ist.
Zusätzlich zum endgültigen Patch bietet SAP drei Optionen für eine (vorübergehende) Abhilfe an:
- Deaktivieren der Admin-Benutzeroberfläche durch Löschen einer Datei
- Deaktivieren der Admin-Benutzeroberfläche durch Änderungen an Profilparametern
- Entfernen Sie die Administratorrolle von allen Benutzern
Nach der Installation des permanenten Patches verhalten sich die Optionen anders:
| Option | Muss nach der Aktualisierung auf den permanenten Patch rückgängig gemacht werden | Muss nach der Aktualisierung auf einen Patch-Stand, der niedriger ist als der in diesem Hinweis genannte, wiederholt werden |
| Dateilöschung | Nein | Ja |
| Profilparameter | Ja | Nein |
| Administratorrolle | Nein | Nein |
Weitere Informationen zu den Voraussetzungen finden Sie in den FAQ im SAP-Hinweis Nr . 3526389.
Beitrag von Onapsis
Erneut hat unser Team Onapsis Research Labs ORL) zu einigen der Sicherheitshinweise im November beigetragen. Neben dem einzigen neuen Hinweis mit hoher Priorität ( Nr. 3520281) waren dies auch zwei Hinweise mit mittlerer Priorität.
Der SAP-Sicherheitshinweis Nr. 3504390, der mit einem CVSS-Wert von 5,3 bewertet wurde, betrifft den SAP NetWeaver Application Server für ABAP und Platform. Das Team hat festgestellt, dass der Kernel anfällig für eine Null-Zeiger-Dereferenzierung ist, die von einem nicht authentifizierten Angreifer durch das Senden böswillig gestalteter HTTP-Anfragen ausgelöst werden kann. Dies führt zu einem Neustart des betroffenen disp+work-Prozesses und beeinträchtigt somit in geringem Maße die Verfügbarkeit des Systems.
Der SAP-Sicherheitshinweis Nr. 3522953, der mit einem CVSS-Wert von 4,7 versehen ist, behebt eine Sicherheitslücke im Software Update Manager (SUM) eines SAP NetWeaver Application Server Java, die zur Offenlegung von Informationen führen kann. Unter bestimmten Umständen schreibt die Version 1.1 des SUM Anmeldedaten im Klartext in eine Protokolldatei. Diese Informationen können von einem Benutzer ohne Administratorrechte mit lokalem Zugriff gelesen werden.
Zusammenfassung und Schlussfolgerungen
Mit nur zehn Sicherheitshinweisen war der SAP-Patch-Day im November erneut ein ruhiger Tag. Wir freuen uns, dass die Onapsis Research Labs erneut dazu beitragen Onapsis Research Labs , die Sicherheit von SAP-Anwendungen zu erhöhen. SAP-Kunden können in den kommenden Monaten noch viel mehr von den ORL erwarten.
| SAP-Hinweis | Typ | Beschreibung | Priorität | CVSS |
| 3520281 | Neu | [CVE-2024-47590] Cross-Site-Scripting-Sicherheitslücke (XSS) im SAP Web Dispatcher BC-CST-WDP | Hoch | 8.8 |
| 3483344 | Aktualisierung | [CVE-2024-39592] Fehlende Autorisierungsprüfung in der SAP-PDCE- -FIN-BA | Hoch | 7.7 |
| 3335394 | Neu | [CVE-2024-42372] Fehlende Berechtigungsprüfung in SAP NetWeaver AS Java (System Landscape Directory) BC-CCM-SLD | Mittel | 6.5 |
| 3509619 | Neu | [CVE-2024-47595] Lokale Rechteausweitung im SAP Host Agent BC-CCM-HAG | Mittel | 6.3 |
| 3393899 | Neu | [CVE-2024-47592] Sicherheitslücke durch Offenlegung von Informationen im SAP NetWeaver Application Server Java (Anmeldeanwendung) BC-JAS-SEC | Mittel | 5.3 |
| 3504390 | Neu | [CVE-2024-47586] Sicherheitslücke durch Dereferenzierung eines NULL-Zeigers im SAP NetWeaver Application Server für ABAP und in der Platform BC-ABA-LA | Mittel | 5.3 |
| 3522953 | Neu | [CVE-2024-47588] Sicherheitslücke durch Offenlegung von Informationen in SAP NetWeaver Java (Software Update Manager) BC-UPG-TLS-TLJ | Mittel | 4.7 |
| 3508947 | Neu | [CVE-2024-47593] Sicherheitslücke durch Offenlegung von Informationen im SAP NetWeaver Application Server für ABAP und in Platform BC-FES-WGU | Mittel | 4.3 |
| 3498470 | Neu | [CVE-2024-47587] Fehlende Berechtigungsprüfung im SAP Cash Management (Cash Operations) FIN-FSCM-CLM-COP | Niedrig | 3.5 |
| 3392049 | Aktualisierung | [CVE-2024-33000] Fehlende Autorisierungsprüfung im SAP-Bankkontenmanagement FIN-FSCM-CLM-BAM | Niedrig | 3.5 |
Wie immer Onapsis Research Labs bereits Onapsis Research Labs , die Platform zu aktualisieren und die neu veröffentlichten Sicherheitslücken in das Produkt zu integrieren, damit unsere Kunden ihre Unternehmen schützen können.
Wenn Sie mehr über die neuesten SAP-Sicherheitsprobleme und unsere kontinuierlichen Bemühungen erfahren möchten, Wissen mit der Sicherheits-Community zu teilen, abonnieren Sie unseren monatlichen „Defender’s Digest Onapsis“-Newsletter.