SAP-Sicherheitshinweise Juli 2018: Erneut veröffentlichte aktuelle Meldungen und die zunehmende Bedeutung von Sicherheitshinweisen

Es ist wieder der zweite Dienstag des Monats, und SAP hat eine neue Reihe von Sicherheitshinweisen veröffentlicht. Heute wurden 15 neue Hinweise veröffentlicht, womit sich die Gesamtzahl der seit dem letzten Patch Day veröffentlichten Sicherheitshinweise auf 34 beläuft. Insgesamt fünf Hinweise (15 %) sind als „High Priority“ oder „Hot News“ gekennzeichnet. Mit Ausnahme von vier Hinweisen mit niedriger Priorität haben alle übrigen Hinweise in diesem Monat mittlere Priorität (25).

Das letzte Mal, dass es mehr als 30 Sicherheitshinweise gab, war vor sieben Monaten.

Diese 25 Notizen mit mittlerer Priorität für Juli machen insgesamt 75 % des monatlichen Pakets aus. Es handelt sich größtenteils um neue Notizen, darunterdie Nr. 2624762, die eine von Onapsis gemeldete Sicherheitslücke in SAP BusinessObjects behebt. Es handelt sich um einen reflektierten XSS-Angriff, der SAP Crystal Reports betrifft, eine Komponente der SAP BusinessObjects platform. Technische Details zu dieser Sicherheitslücke finden Sie im folgenden Abschnitt zur Behebung der von Onapsis gemeldeten BusinessObjects-Sicherheitslücke.

In diesem Monat wurde der einzige SAP-Sicherheitshinweis, der als „Hot News“ gekennzeichnet ist, erneut veröffentlicht. Er wurde bereits im letzten Monat veröffentlicht, und wie wir bereits in unserem letzten Beitrag „SAP-Sicherheitshinweise Juni 2018: Was tun bei kritischen, erneut veröffentlichten Hinweisen?“ erläutert haben, müssen Kunden ihn erneut installieren. Wir werden uns näher mit diesem speziellen Fall befassen, der sich in diesem Monat zweimal ereignet: in diesem Monat veröffentlichte „Hot News“- und „High Priority“-Hinweise.

Nachstehend finden Sie eine Grafik, die die Verteilung der Sicherheitslücken nach Kategorien in diesem Monat zeigt:

Eine Lösung für die von Onapsis gemeldete Sicherheitslücke in BusinessObjects
Die Onapsis Research Labs seit vielen Monaten intensiv mit SAP BusinessObjects, und der SAP-Sicherheitshinweis Nr.2624762 behebt eine der Sicherheitslücken (Mittlere Priorität(CVSS: 6,1), die wir kürzlich an SAP gemeldet haben. Es handelt sich um eine Reflektiertes XSS das sich auf die SAP Crystal Reports, ein Bestandteil des SAP BusinessObjects BI platform.

Bei diesem von Onapsis entdeckten reflektierten XSS-Angriff kann ein Angreifer eine HTTP-Anfrage manipulieren, indem er beispielsweise ein beliebiges Skript hinzufügt. Da die Anfrage vom Server nicht bereinigt wird, wird das Skript im Browser des Benutzers ausgeführt, wodurch der Angreifer die angezeigten Informationen manipulieren oder andere böswillige Aktivitäten ausführen kann. Diese XSS-Schwachstelle wird weder auf dem Server noch auf dem Client gespeichert. Eine solche Schwachstelle mit einem CVSS-Score von 6,1 kann es einem Angreifer ermöglichen, Webinhalte zu verändern, Benutzerdaten aus der Sitzung zu stehlen und sich mit denselben Berechtigungen auf dem System als der Benutzer auszugeben.

Details zu Schwachstellen in IGS und Gateway
Die heutigen monatlichen Sicherheitshinweise enthalten Korrekturen für vier Schwachstellen, die der Sicherheitsforscher Yvan Genuer kurz vor seinem Eintritt bei den Onapsis Research Labs Mai gemeldet hatte. Diese wurden als „mittlere Priorität“ eingestuft. Drei davon betreffen SAP IGS und eine betrifft SAP Gateway.

Da uns die Einzelheiten dieser Sicherheitslücken vorliegen, können wir sie im Folgenden eingehend analysieren.

1. [CVE-2018-2438] Denial-of-Service (DoS) im SAP Internet Graphics Server (IGS) (#2644238) – Hierbei handelt es sich um eine Gruppe von fünf ähnlichen Denial-of-Service-Schwachstellen (DoS) in SAP IGS, die aus der Ferne und anonym ausgenutzt werden können. Aufgrund unzureichender Validierung verarbeitet SAP IGS möglicherweise ungültige anonyme Fernanfragen, was zu langen Antwortverzögerungen, Dienstunterbrechungen oder einem Absturz führen kann. Dies beeinträchtigt die Verfügbarkeit des Dienstes. Um die Lösung zu implementieren, muss der Benutzer den in der Note angegebenen Patch-Level anwenden.
2. [CVE-2018-2439] Code-Injection-Sicherheitslücke im SAP Internet Graphics Server (IGS) (#2644147) – Dieser Hinweis behandelt drei ähnliche Code-Injection-Sicherheitslücken im IGS, die aus der Ferne und ohne Authentifizierung ausgenutzt werden können und zu einer Open-Redirect-Sicherheitslücke führen könnten, beispielsweise indem ein SAP-Administrator gezwungen wird, auf eine externe Website zuzugreifen. Dadurch kann ein Angreifer beliebigen Code einschleusen, der von der Anwendung ausgeführt wird, und so das Verhalten der Anwendung manipulieren. Die Auswirkungen umfassen die unbefugte Ausführung von Befehlen, die Offenlegung sensibler Informationen und Denial-of-Service-Angriffe. Wie im vorherigen Fall muss der Benutzer zur Umsetzung der Lösung den bereitgestellten Patch installieren.
3. [CVE-2018-2437] Unbefugte Befehlsausführung im SAP Internet Graphics Server (IGS) (#2644227) – Diese Sicherheitslücke ermöglicht es einem Angreifer, über den Multiplexer-RFC-Listener von außen die Ausführung von IGS-Befehlen auszulösen. Dies kann zur Offenlegung von Informationen sowie zum Einfügen oder Ändern bösartiger Dateien führen. Als Lösung wird empfohlen, den Hinweis #1425765 zu konsultieren und einen eingeschränkten Reginfo-Eintrag zu erstellen, um externen Zugriff zu verhindern, sowie die neueste verfügbare Version des SAP Internet Graphics Server (IGS) zu verwenden.
4. [CVE-2018-2433] Denial-of-Service (DoS) im SAP Gateway (#2597913) – In diesem Fall hat der Sicherheitsforscher zwei Möglichkeiten gefunden, im SAP Gateway aus der Ferne und ohne Authentifizierung einen Denial-of-Service-Angriff auszulösen, entweder durch einen Absturz oder durch eine Überflutung des Dienstes. Auf diese Weise verhindert der Angreifer, dass Benutzer auf den Dienst zugreifen können. SAP Gateway ist der Dienst, der unter anderem die Verbindung zu dem System von anderen Systemen oder mobilen Geräten aus ermöglicht. Um diese Schwachstelle zu beheben, wird empfohlen, die in der Mitteilung angegebene korrekte Version und den entsprechenden Patch-Level von SAP Gateway zu installieren.

Aktuelle Meldungen und Hinweise mit hoher Priorität, die diesen Monat veröffentlicht wurden
Die einzige Sicherheitsmeldung unter „Aktuelle Meldungen“ in diesem Monat ist eine Neuauflage des Hinweises#2622660, der regelmäßige Sicherheitsupdates für Webbrowser-Steuerelemente von Drittanbietern enthält, die mit dem SAP Business Client ausgeliefert werden. Die beiden Steuerelemente zur Anzeige von HTML-Inhalten sind für den Internet Explorer und für Chromium bestimmt. Der neue Sicherheitspatch für diesen Monat betrifft das Open-Source-Projekt Chromium. Wie wir bereits in unserem Blogbeitrag vom letzten Monat erläutert haben, ist es zum Schutz des Systems erforderlich, den neuesten verfügbaren SAP Business Client zu installieren. Ja, dies ist eine der Art von neu veröffentlichten Hinweisen, die installiert werden müssen.

Im Folgenden werden die vier Notizen mit hoher Priorität dieses Monats erläutert:
 

1. Fehlende Berechtigungsprüfung in der Printworkbench (#2604054) – Die SAP Printworkbench ist eine zentrale Entwicklungsumgebung zur Erstellung standardisierter Ausgangskorrespondenz, die in der Komponente SAP_ABA von 700 bis 75C vorhanden ist. Diese durch fehlende Berechtigungsprüfungen verursachte Sicherheitslücke kann dazu führen, dass Funktionen, die einer bestimmten Benutzergruppe vorbehalten sind, missbraucht werden und auf geschützte Daten zugegriffen oder diese verändert werden. Dies beeinträchtigt die Datenintegrität und -vertraulichkeit. Die Korrekturanweisungen und der Hinweis müssen befolgt werden, um diese Risiken zu beheben.
2. Die Liste der Diagnose-Agenten kann aufgrund von Sicherheitsmaßnahmen auf API-Ebene nicht abgerufen werden (#2546807) – In der SAP Solution Manager-Konfiguration ist es aufgrund einer fehlerhaften Sicherheitsumsetzung nicht möglich, eine SolMan-Konfiguration abzuschließen. Dies hat zur Folge, dass eine korrekte Solution Manager-Konfiguration nicht abgeschlossen werden kann, da Informationen aus der Liste der genannten Agenten fehlen. Befolgen Sie zur Behebung dieses Problems den Hinweis #2544779.
3. [CVE-2018-2408] Unsachgemäße Sitzungsverwaltung in SAP Business Objects – CMC/BI Launchpad/Fiorified BI Launchpad (#2537150) – Dieser neu veröffentlichte Sicherheitshinweis erweitert den Geltungsbereich der Sicherheitslücke auf weitere Versionen und Patch-Stände der SAP BusinessObjects platform. Die Schwachstelle hat Auswirkungen auf die Vertraulichkeit: Ein Angreifer kann eine Benutzersitzung auch dann missbrauchen, wenn der Benutzer das Passwort geändert hat. Das Sicherheitsproblem kann durch die Installation des entsprechenden Patches behoben werden.
4. Denial-of-Service (DoS) im Internet-Vertrieb (#2629535) – Obwohl es sich bei diesem Sicherheitshinweis um eine Neuauflage des ursprünglichen Hinweises handelt, der bereits Anfang dieses Monats veröffentlicht wurde, behebt er eine bekannte, bereits seit längerem bekannte ([2014-0050]) Sicherheitslücke in der von SAP Internet-Vertrieb / E-Commerce / Web Channel verwendeten Drittanbietersoftware Apache Tomcat und JBoss Web. Ein solcher Denial-of-Service beeinträchtigt die Systemverfügbarkeit. Dieser Fehler in MultipartStream.java ermöglicht es Angreifern, über einen manipulierten Content-Type-Header einen Denial-of-Service (Endlosschleife und CPU-Auslastung) zu verursachen, wodurch der Dienst abstürzt oder überlastet wird. Kunden müssen die Korrekturanweisungen umsetzen und den entsprechenden Hinweis anwenden.

Fazit
Wie immer arbeiten wir daran, die Onapsis Security Platform zu aktualisieren, um diese neu veröffentlichten Sicherheitslücken zu berücksichtigen. Dadurch können unsere Kunden überprüfen, ob ihre Systeme auf dem Stand der neuesten SAP-Sicherheitshinweise sind, und sicherstellen, dass diese Systeme mit dem erforderlichen Sicherheitsniveau konfiguriert sind, um ihre Audit- und Compliance-Anforderungen zu erfüllen. Weitere Informationen zu allen in diesem Blogbeitrag behandelten Themen finden Sie auf unserer Website.