SAP-Patch-Tag: Oktober 2024
Patches mit hoher Priorität für SAP Enterprise Project Connection und SAP BusinessObjects
Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom Oktober gehören:
- Zusammenfassung für Oktober—12 neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter eine HotNews -Mitteilung und drei Mitteilungen mit hoher Priorität
- Neues zu Log4j und dem Spring-Framework—Sicherheitslücken in den bekannten Open-Source-Bibliotheken erfordern einen Patch mit hoher Priorität für SAP Enterprise Project Connection
- Aktualisierungen zu sechs SAP-Sicherheitshinweisen—Patches für weitere Versionen von Softwarekomponenten veröffentlicht
SAP hat an seinem Patch Day im Oktober zwölf SAP-Sicherheitshinweise veröffentlicht (einschließlich der Hinweise, die seit dem letzten Patch Tuesday veröffentlicht oder aktualisiert wurden). Darunter befinden sich „ “, ein „HotNews“-Hinweis und dreiHinweise mit hoher Priorität.
Der HotNews-Sicherheitshinweis Nr. 3479478, der mit einem CVSS-Wert von 9,8 versehen ist, wurde ursprünglich im August 2024 veröffentlicht und behebt eine Sicherheitslücke aufgrund fehlender Authentifizierungsprüfung in Platform SAP BusinessObjects Business Intelligence Platform. Der Hinweis wurde nun aktualisiert und enthält einen zusätzlichen Patch für SAP-Kunden, die die Version „SBOP BI PLATFORM 4.2 SP009“ einsetzen.
Zusätzliche Patches werden auch für eine Schwachstelle aufgrund fehlender Autorisierungsprüfung in SAP Product Design Cost Estimating (PDCE) bereitgestellt, die ursprünglich im Juli 2024 in Zusammenarbeit mit den Onapsis Research Labs behoben wurde. Die Hochprioritätsnotiz Nr . 3483344 mit einem CVSS-Score von 7,7 enthält nun Patches für die zusätzlichen Softwarekomponenten SEM-BW 600 bis SEM-BW 748.
Die neuen Notizen mit hoher Priorität im Detail
Das Spring Framework und die Open-Source-Bibliotheken von Log4j stehen am SAP Patch Day erneut im Fokus.
Der SAP-Sicherheitshinweis Nr . 3523541, der mit einem CVSS-Score von 8,0 versehen ist, behebt mehrere Sicherheitslücken in SAP Enterprise Project Connection durch die Aktualisierung der entsprechenden Bibliotheksversionen. Die Schwachstellen werden unter den Kennungen CVE-2024-22259, CVE-2024-38809, CVE-2024-38808 und CVE-2022-23302 geführt.
Der SAP-Sicherheitshinweis Nr. 3478615 betrifft alle Platform SAP BusinessObjects Business Intelligence Platform und behebt eine Schwachstelle im Zusammenhang mit unsicheren Dateioperationen, die mit einem CVSS-Score von 7,7 bewertet wurde. Ohne diesen Patch können authentifizierte Benutzer speziell gestaltete Anfragen an den Web Intelligence Reporting Server senden, um beliebige Dateien von dem Rechner herunterzuladen, auf dem der Dienst gehostet wird.
Zusammenfassung und Schlussfolgerungen
Mit nur zwölf SAP-Sicherheitshinweisen, darunter lediglich sechs neue, ist der SAP-Patch-Day im Oktober ein ruhiger Patch-Day. Wir empfehlen, die aktualisierten SAP-Sicherheitshinweise im Detail zu prüfen, da die meisten von ihnen durch Patches für weitere Versionen von Softwarekomponenten erweitert wurden.
| SAP-Hinweis | Typ | Beschreibung | Priorität | CVSS |
| 3479478 | Aktualisierung | [CVE-2024-41730] Fehlende Authentifizierungsprüfung in SAP BusinessObjects Business Intelligence Platform BI-BIP-INV | Aktuelles | 9.8 |
| 3523541 | Neu | [CVE-2022-23302] Mehrere Sicherheitslücken in der SAP Enterprise Project Connection CA-EPC | Hoch | 8.0 |
| 3478615 | Neu | [CVE-2024-37179] Sicherheitslücke durch unsichere Dateioperationen in Platform SAP BusinessObjects Business Intelligence Platform Web Intelligence) BI-RA-WBI-BE | Hoch | 7.7 |
| 3483344 | Aktualisierung | [CVE-2024-39592] Fehlende Autorisierungsprüfung in der SAP-PDCE- -FIN-BA | Hoch | 7.7 |
| 3477359 | Aktualisierung | [CVE-2024-45283] Sicherheitslücke durch Offenlegung von Informationen in SAP NetWeaver AS for Java (Destination Service) BC-JAS-SEC-DST | Mittel | 6.0 |
| 3507545 | Neu | [CVE-2024-45278] Cross-Site-Scripting-Sicherheitslücke (XSS) in SAP Commerce Backoffice CEC-SCC-CDM-BO-APP | Mittel | 5.4 |
| 3503462 | Neu | [CVE-2024-47594] Cross-Site-Scripting-Sicherheitslücke (XSS) im SAP NetWeaver Enterprise Portal (KMC) EP-KM-ADM-CFG | Mittel | 5.4 |
| 3520100 | Neu | [CVE-2024-45277] Sicherheitslücke durch Prototyp-Pollution im SAP-HANA-Client- -HAN-DB-CLI | Mittel | 4.3 |
| 3251893 | Neu | [CVE-2024-45282] Manipulation des HTTP-Verbs in SAP S/4 HANA (Bankauszüge verwalten) FI-FIO-AR | Mittel | 4.3 |
| 3481588 | Aktualisierung | [CVE-2024-41729] Sicherheitslücke mit Informationspreisgabe im SAP NetWeaver BW (BEx Analyzer) BW-BEX-ET-WB-7X | Mittel | 4.3 |
| 3479293 | Aktualisierung | [CVE-2024-42373] Fehlende Berechtigungsprüfung im SAP Student Life Cycle Management (SLcM) IS-HER-CM-AD | Mittel | 4.3 |
| 3454858 | Aktualisierung | [CVE-2024-37180] Sicherheitslücke durch Offenlegung von Informationen im SAP NetWeaver Application Server für ABAP und in der Platform- BC-SRV-DX-DXW | Mittel | 4.1 |
Wie immer, die Onapsis Research Labs bereits dabei, die Platform zu aktualisieren, um die neu veröffentlichten Sicherheitslücken in das Produkt zu integrieren, damit unsere Kunden ihre Unternehmen schützen können.
Wenn Sie weitere Informationen zu den aktuellen SAP-Sicherheitsproblemen und unseren kontinuierlichen Bemühungen um den Wissensaustausch mit der Sicherheits-Community erhalten möchten, abonnieren Sie unseren „Defenders Digest“-Newsletter.