SAP Security Patch Day Januar 2021: Zwei kritische Patches für SAP Business Warehouse veröffentlicht

Von:

12. Januar 2021

Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom Januar gehören:

  • Zusammenfassung Januar—19 neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter fünf HotNews-Hinweise und zwei Hinweise mit hoher Priorität
  • Schwerwiegende Sicherheitslücken in SAP Business Warehouse (BW) und SAP BW/4HANA– Eine Sicherheitslücke durch Code-Injection gefährdet beide Anwendungen

Das neue SAP-Sicherheitsjahr hat mit 19 neuen und aktualisierten SAP-Sicherheitshinweisen begonnen. Darunter befinden sich fünf „HotNews“-Hinweise und zwei Hinweise mit hoher Priorität.

Auf den ersten Blick sollte die Anzahl von fünf HotNews-Hinweisen Anlass zur Sorge geben. Eine genauere Analyse dieser Hinweise zeigt jedoch, dass es sich bei dem HotNews-Hinweis Nr. 2622660 um das bekannte, regelmäßig erscheinende Chromium-Update für den SAP Business Client handelt. Ein Blick auf die Details des Hinweises zeigt, dass die mit dem neuesten Chromium-Update behobenen Schwachstellen einen maximalen CVSS-Wert von 7,5 aufweisen. Dennoch bedeutet dies, dass es sich hier de facto um einen Patch mit hoher Priorität handelt, weshalb die Installation dieses neuen Updates dringend empfohlen wird.

Der HotNews-Hinweis Nr. 2979062, der mit einem CVSS-Score von 9,1 versehen ist, wurde ursprünglich am SAP-Patch-Day im November veröffentlicht. SAP hat den Hinweis erweitert und stellt nun Patches für weitere Support-Pakete bereit. Ein Blick auf die Veröffentlichungsdaten der betroffenen Support-Pakete zeigt, dass diese gemäß der 24-Monats-Regel von SAP nicht mehr gewartet werden. Glücklicherweise hält SAP nicht immer strikt an dieser Regel fest, sodass mehr SAP-Kunden von einem automatischen Patch für die beschriebene kritische Sicherheitslücke zur Rechteausweitung im SAP NetWeaver Application Server for Java profitieren können. 

Das Gleiche gilt für die HotNews-Meldung Nr. 2983367, die mit einem CVSS-Wert von 9,1 versehen ist und ursprünglich am SAP-Patch-Day im Dezember veröffentlicht wurde. Im Anschluss daran hat SAP „… die Gültigkeit für alle betroffenen Codelinien auf die niedrigstmögliche SP-Stufe erweitert.“

Im Fokus: SAP Business Warehouse und SAP BW/4HANA

Die beiden neuen HotNews-Meldungen zum SAP-Patch-Day im Januar, die beide mit einem CVSS-Wert von 9,9 versehen sind, beheben kritische Sicherheitslücken in SAP Business Warehouse (SAP BW) und SAP BW/4HANA.

Der SAP-Sicherheitshinweis Nr. 2999854 betrifft beide oben genannten Anwendungen und behebt eine gefährliche Code-Injection-Sicherheitslücke. Er schließt eine typische Ursache für diese Art von Sicherheitslücke. Eine unzureichende Eingabevalidierung könnte es einem Benutzer mit geringen Berechtigungen ermöglichen, bösartigen Code einzuschleusen, der dauerhaft als Bericht gespeichert wird. Dieser Bericht könnte anschließend ausgeführt werden und somit potenziell zu Szenarien führen, die erhebliche negative Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit des betroffenen Systems (und möglicherweise auch verbundener Systeme) haben. Glücklicherweise kann der bereitgestellte Patch automatisch über die Transaktion SNOTE angewendet werden und erfordert keine manuellen Vor- oder Nachbereitungsschritte.

Der zweite neue HotNews-Hinweis , der SAP-Sicherheitshinweis Nr. 2986980, betrifft ausschließlich SAP BW. Er behebt eine SQL-Injection-Sicherheitslücke mit einem CVSS-Score von 9,9 sowie eine Sicherheitslücke aufgrund fehlender Berechtigungsprüfung mit einem CVSS-Score von 6,5. Beide Sicherheitslücken wurden in der Datenbankschnittstelle von SAP BW entdeckt. Eine unsachgemäße Bereinigung der übermittelten SQL-Befehle ermöglichte es einem Angreifer, beliebige SQL-Befehle auf der Datenbank auszuführen, was zu einer vollständigen Kompromittierung des betroffenen Systems führen konnte. 

Nur die Tatsache, dass für den Start des Angriffs zumindest minimale Berechtigungen erforderlich sind, verhinderte, dass diese Schwachstelle – ebenso wie die mit dem SAP-Sicherheitshinweis Nr. 2999854 behobene Schwachstelle – die erste mit einem CVSS-Wert von 10 im Jahr 2021 wurde.  

Die Sicherheitslücke „Fehlende Berechtigungsprüfung“, die mit dem Hinweis Nr. 2986980behoben wurde, könnte zu einer Rechteausweitung führen, wodurch ein Angreifer beliebige Datenbanktabellen auslesen könnte. SAP hat das Problem gelöst, indem es den Funktionsbaustein einfach deaktiviert hat. Achtung: Dies führt in jeder Anwendung, die diesen Funktionsbaustein aufruft, zu einem Absturz! Es wird daher dringend empfohlen, Ihren benutzerdefinierten Code zu überprüfen, bevor Sie den Patch anwenden. Falls der Funktionsbaustein noch verwendet wird, wird ebenfalls dringend empfohlen, über eine Alternative nachzudenken, „da er nicht mehr verwendet werden darf“, und den Patch zu implementieren. Ausgehend von dieser Aussage ist die Wahrscheinlichkeit hoch, dass der gefährliche Funktionsbaustein ohnehin mit einem der nächsten Updates entfernt wird.

Weitere wichtige SAP-Sicherheitshinweise im Januar

Am SAP-Patch-Day im Januar wurden zwei weitere Sicherheitshinweise mit hoher Priorität veröffentlicht:

Der SAP-Sicherheitshinweis Nr. 3001373, der mit einem CVSS-Wert von 8,9 versehen ist, behebt ein Problem beim Bindungsvorgang des Central Order-Dienstes an eine Cloud , das vor dem 4. Dezember 2020 bestand. Dieses Problem ermöglichte es unbefugten SAP-Mitarbeitern, auf die Bindungszugangsdaten des Dienstes zuzugreifen. Es kann durch einfaches Löschen und erneutes Anlegen der Service-Instanz behoben werden. Wenn zusätzliche Service-Schlüssel für die Service-Instanz angelegt wurden, müssen diese neu erstellt werden, um neue Anmeldedaten zu generieren.

Der SAP-Sicherheitshinweis#3000306, der mit einem CVSS-Score von 7,5 versehen ist, behebt ein Szenario in SAP NetWeaver AS und Platform zu einem Denial-of-Service für die Benutzer führen könnte. Das Starten der Demo-Beispiele, die in der ABAP-Schlüsselwortdokumentation PlatformABAP Server und ABAP Platformeingebettet sind, über die Webversion ermöglicht es einem nicht authentifizierten Angreifer, legitime Benutzer am Zugriff auf einen Dienst zu hindern, indem er den Dienst zum Absturz bringt oder mit Anfragen überflutet. Der bereitgestellte Fix verhindert, dass die Demo-Beispiele parallel gestartet werden.

Zusammenfassung und Schlussfolgerungen

Mit nur 11 „wirklich“ neuen SAP-Sicherheitshinweisen begann das neue Jahr mit einem relativ ruhigen SAP-Patch-Day. 

Die wichtigsten Erkenntnisse:

  • Wenn möglich, ist dies der ideale Zeitpunkt, um sicherzustellen, dass Ihr Support-Paket von SAP weiterhin aufrechterhalten wird, wobei Sie die 24-Monats-Regel beachten sollten.
  • Falls ein Hinweis keine Lösung für Ihre Support-Paketstufe enthält, sollten Sie die Sicherheitshinweise regelmäßig auf Aktualisierungen überprüfen. SAP stellt oft einige Wochen nach der ersten Veröffentlichung eines Sicherheitshinweises Patches für niedrigere Paketstufen bereit.
  • Sicherheitslücken durch Code-Injection, SQL-Injection und OS-Command-Injection sind generell sehr kritisch, da sie oft dazu führen, dass das gesamte System kompromittiert wird. Achten Sie bei der individuellen Entwicklung auf eine ausreichende Eingabevalidierung und/oder Bereinigung von Code oder Befehlen, die als Benutzereingaben übermittelt werden können!
SAP-Patch-Tag im Januar

Wie immer Onapsis Research Labs bereits Onapsis Research Labs , die Platform zu aktualisieren und die neu veröffentlichten Sicherheitslücken in das Produkt zu integrieren, damit unsere Kunden ihre Unternehmen schützen können.

Wenn Sie mehr über die neuesten SAP-Sicherheitsprobleme und unsere kontinuierlichen Bemühungen erfahren möchten, Wissen mit der Sicherheits-Community zu teilen, abonnieren Sie unseren monatlichen „Defender’s Digest Onapsis“-Newsletter.

Alle SAP-Sicherheitshinweise anzeigen

Stichworte
Über den Autor

Thomas Fritsch

Als führender SAP-Sicherheitsforscher bei Onapsis gilt Thomas Fritsch als anerkannte Autorität in den Bereichen vulnerability management und neue Bedrohungen. Aufgrund seiner langjährigen Erfahrung als SAP-Experte konzentriert er sich auf hochtechnische Bereiche wie die Konfiguration von SAP-Systemen und das Transportmanagement. Thomas’ Analysen der neuesten SAP-Sicherheitspatches und -Schwachstellen sind ein zentraler Bestandteil der Forschungsarbeit, die Unternehmen die fundierten und umsetzbaren Erkenntnisse liefert, die sie zum Schutz ihrer Systeme benötigen. Seine Rolle als angesehener Redner und Autor festigt seinen Ruf als maßgebliche Stimme im Bereich der SAP-Cybersicherheit und trägt dazu bei, die Lücke zwischen komplexer Forschung und praktischen Sicherheitsmaßnahmen in der realen Welt zu schließen.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen