SAP-Sicherheitshinweise Juni 2018: Wie geht man mit erneut veröffentlichten kritischen Hinweisen um?

Es ist der zweite Dienstag im Juni, was bedeutet, dass SAP eine neue Reihe von Sicherheitshinweisen veröffentlicht hat. Der Abwärtstrend bei der Anzahl der monatlichen Hinweise scheint sich fortzusetzen. In diesem Monat wurden insgesamt 14 Sicherheitshinweise veröffentlicht, davon allein sieben heute. Insgesamt sechs Hinweise (fast 50 %) sind als„High Priority“oder„Hot News“ gekennzeichnet. Im Rahmen unserer traditionellen monatlichen Analyse der Hinweise werden wir uns eingehender mit einem speziellen Fall befassen, der diesen Monat zweimal auftritt:Was ist zu tun, wenn ein SAP-Sicherheitshinweis erneut veröffentlicht wird?

In diesem Monat ist der Anteil an Hinweisen mit hohem Schweregrad besonders hoch. Im Laufe des Monats wurden zwei„Hot News“-Hinweise veröffentlicht, wobei es sich bei beiden um Neuauflagen handelt. Einer der„Hot News“-Hinweisebetrifft eine Sicherheitslücke im„Report for Terminology Export“, die ursprünglich bereits im November 2016 von Onapsis gemeldet wurde. Heute kamen vier weitere Hinweisemit hoher Prioritäthinzu. Wir sehen, dass diese Hinweise mit hohem Schweregrad in den unterschiedlichsten SAP-Komponenten auftreten, von denen einige vielleicht einer zusätzlichen Erläuterung bedürfen. Wir beabsichtigen, in einem der nächsten Abschnitte einen Überblick über diese Hinweise zu geben. Alle übrigen Hinweise in diesem Monat habenmittlere Priorität; diesmal sehen wir keine Hinweisemit niedriger Priorität. 

„HotNews“erneut veröffentlicht: Muss ich mir jetzt Sorgen machen?
Wie bereits erwähnt, handelt es sich bei beiden in diesem Monat veröffentlichten„Hot News“-Hinweisentatsächlich um Neuauflagen. Sie wurden beide bereits im letzten Monat, kurz nach dem letzten Patch Day, veröffentlicht. Eine der Fragen, die einige Kunden gestellt haben, lautet:Was ist zu tun, wenn ein bereits installierter SAP-Sicherheitshinweis erneut veröffentlicht wird – muss ich ihn erneut installieren? Um mehr Klarheit zu schaffen, helfen uns die beiden in diesem Monat gemeldeten Hinweise dabei, eine Antwort zu geben. Wir haben bereits in früheren Blogbeiträgen über beide Hinweise berichtet, aber der Vollständigkeit halber werden wir im Folgenden erläutern, was in der Zwischenzeit geschehen ist, und diese spezifische Frage für beide Hinweise beantworten.
 

• Sicherheitslücke durch OS-Befehlsinjektion im Bericht zum Terminologieexport(#2357141): Dieser Sicherheitshinweis, ursprünglich gemeldet von den Onapsis Research Labs, wurde erstmals im November 2016 veröffentlicht,woraufhin wir darüber berichteten. Als sie ein Jahr später, im Dezember 2017, erneut veröffentlicht wurde,erklärten wir, dass der Fehler zwar behoben worden war, jedoch eine Fehlfunktion in der Benutzeroberfläche verursacht hatte. Zur Behebung waren manuelle Schritte erforderlich. Die einzige Änderung in diesem Monat besteht darin, dass diese Schritte nun aktualisiert wurden (soweit wir überprüft haben, wurden nur geringfügige Änderungen vorgenommen).

Muss ich diesen SAP-Sicherheitshinweis erneut installieren?Nein, das istnicht nötig. Im Hinweis finden Sie folgenden Hinweis: „Wenn dieser Hinweis bereits umgesetzt wurde, sind keine weiteren Maßnahmen erforderlich.“ Wie unser Team bestätigt hat, haben manuelle Schritte, sofern der ursprüngliche Hinweis bereits installiert wurde, lediglich Auswirkungen auf die Benutzerfreundlichkeit, jedoch keine Auswirkungen auf die Sicherheit.
 

• Sicherheitsupdates für Webbrowser-Steuerelemente von Drittanbietern, die mit dem SAP Business Client bereitgestellt werden(#2622660): Dieser erneut veröffentlichte Hinweis wurdeerstmals im April dieses Jahres behandelt. In diesem Monat wurde ein zusätzlicher Support-Package-Patch für den SAP Business Client 6.5 veröffentlicht, der die aktuellste stabile Version des control enthält. Im Wesentlichen enthält dieser Hinweis Updates von Drittanbietern, die über spezifische SAP-Sicherheitshinweise in der SAP-Umgebung implementiert werden. Diese Hinweise sind von großer Bedeutung, da Exploits für diese Drittanbieter-Tools oft massiver oder weitreichender sein können als spezifische Exploits für SAP, die in der Regel gezielter und selektiver sind.

Muss ich diesen SAP-Sicherheitshinweis erneut installieren?Ja, dasmüssen Sie. SAP macht dies im Inhalt des Hinweises auch ganz deutlich: „Dieser Hinweis wird regelmäßig entsprechend den Aktualisierungen der Webbrowser durch die jeweiligen Anbieter angepasst.“Jedes Mal, wenn SAP diesen Sicherheitshinweis aktualisiert, müssen Sie dies ebenfalls tun.

Wie Sie sich vorstellen können, machen beide Notizanalysen eines ziemlich deutlich:Es gibt keine feste Regel für neu veröffentlichte Notizen. Einige müssen erneut installiert werden, andere nicht, und das lässt sich nur herausfinden, indem man die Hinweise liest und analysiert. Gibt es eine Möglichkeit, dies zu vereinfachen? Unser Team analysiert jeden Monat alle SAP-Sicherheitshinweise, um ein tieferes Verständnis für ein komplexes Patch-Framework zu erlangen, das unter anderem verschiedene Dateien, manuelle Schritte und spezifische Prozesse umfasst, die in Anhängen beschrieben sind.Lesen Sie alsoweiterhin unseren Blog für eine schnellere Analyse oderwenden Sie sich an Onapsis Research Labs, wenn Sie Kunde sind.

In diesem Monat veröffentlichte Notesmit hoher Priorität
Die verbleibenden wichtigen Notes dieses Monats habenhohe Prioritätund betreffen eine Reihe verschiedener SAP-Komponenten, von denen einige weniger bekannt sind als andere. Im Folgenden werden wir die Notes beschreiben und versuchen, die Bedeutung dieser Komponenten zu erläutern. 
 

• Sicherheitslücke durch Code-Injektion in SAP Internet Sales(#2626762): Internet Sales ist die E-Commerce-Lösung von SAP. Der Hinweis beschreibt eine bekannte Sicherheitslücke inApache Struts, das SAP in SAP Internet Sales verwendet. Struts ist ein Open-Source-MVC-Framework (Model-View-Controller), das zur Erstellung von Java-EE-Webanwendungen genutzt werden kann.Wir habenbereits zuvordie Risiken der Verwendung von Open-Source-Software von Drittanbietern erörtert, und in diesem Hinweis sehen wir erneut ein Beispiel für deren Auswirkungen.

Seit einigen Jahren besteht eine Sicherheitslücke in derMultiPageValidator-Funktion (MPV) von Apache Struts (CVE-2015-0899). Bei der Erfassung großer Datenmengen vom Benutzer über Formulare wird diese Komponente verwendet, um zu überprüfen, ob die Formularfelder (korrekt formatierte) Informationen enthalten. Es wurde festgestellt, dass die Eingabevalidierung umgangen werden kann, indem der Wert eines in MPV verwendeten Web-Request-Parameters geändert wird. Ein Angreifer könnte dadurch control Verhalten der Anwendung control .

Es wird empfohlen, die in diesem Hinweis genannten entsprechenden Support-Package-Patches zu installieren. Diese Patches enthalten Java-Korrekturen für den E-Commerce-/Web-Kanal mit zusätzlicher Eingabevalidierung, um diese Sicherheitslücke zu beheben.

• Denial-of-Service (DOS) im Online-Handel(#2629535): Wieder einmal sehen wir einen Fehler, der durch die Verwendung von Drittanbietersoftware verursacht wurde, diesmal in der Apache Commons FileUpload-Komponente.Apache Commonsist ein „Apache-Projekt, das sich auf alle Aspekte wiederverwendbarer Java-Komponenten konzentriert“. DasCommons FileUpload-Paket „macht es einfach, Ihren Servlets und Webanwendungen robuste, leistungsstarke Funktionen zum Hochladen von Dateien hinzuzufügen“.

Diese Sicherheitslücke wurde inder Datei „MultipartStream.java“von Commons FileUpload entdeckt. Sie ermöglicht es Angreifern, über einen speziell gestalteten„Content-Type“-Header, der die vorgesehenen Abbruchbedingungen einer Schleife umgeht, einen Denial-of-Service-Angriff (Endlosschleife und CPU-Auslastung) auszulösen. Das bedeutet, dass ein Angreifer legitime Benutzer am Zugriff auf einen Dienst hindern kann, indem er diesen zum Absturz bringt oder mit Daten überflutet.

Ähnlich wie bei dem zuvor behandelten Hinweis zu „Internet Sales“ besteht die Lösung darin, die in dem Hinweis veröffentlichten Support-Package-Patches zu installieren.

• [CVE-2018-2425] Offenlegung von Informationen im SAP Business One für SAP HANA Backup Service(#2588475): Business One ist das schlankere ERP-System von SAP, das für kleine und mittlere Unternehmen entwickelt wurde. Die in diesem Hinweis beschriebene Sicherheitslücke besteht in der Business One-Version für SAP HANA, genauer gesagt in deren Backup-Service. Der Hinweis enthält nicht viele Details, erwähnt jedoch, dass die Sicherheitslücke es einem Angreifer ermöglicht, auf Informationen zuzugreifen, die ansonsten eingeschränkt zugänglich wären. Es scheint, dass sich die sensiblen Informationen in den Protokollen des Backup-Dienstes befinden. Die Behebung erfordert eine Aktualisierung Ihrer Business One-Komponentensoftware.
• [CVE-2018-2408] Fehlerhafte Sitzungsverwaltung in SAP BusinessObjects – CMC/BI Launchpad/Fiorified BI Launchpad(#2537150): Dies ist eine Neuauflageeines Hinweises, denwir in unserem Blogbeitrag vom April behandelt haben. Er betrifft eine Sicherheitslücke in SAP BusinessObjects, die dazu führte, dass bestehende Benutzersitzungen auch nach einer Passwortänderung aktiv blieben. Es scheint, dass die Neuauflage lediglich die Hinzufügung bzw. Korrektur des Hyperlinks zuCVE-2018-2408 betrifft.

Fazit
Wie immer arbeiten wir daran, dieOnapsis Security Platformzu aktualisieren, um diese neu veröffentlichten Sicherheitslücken zu berücksichtigen. Dadurch können unsere Kunden überprüfen, ob ihre Systeme auf dem Stand der neuesten SAP-Sicherheitshinweise sind, und sicherstellen, dass diese Systeme mit dem erforderlichen Sicherheitsniveau konfiguriert sind, um ihre Audit- und Compliance-Anforderungen zu erfüllen. Weitere Informationen zu allen in diesem Blogbeitrag behandelten Themen finden Sie auf unserer Website.