SAP Security Patch Day September 2020: Kritische Patches für SAP Marketing und SAP NetWeaver AS ABAP veröffentlicht

Von:

8. September 2020

Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom September gehören:

  • Zusammenfassung für September—20 neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter vier HotNews-Hinweise und zwei Hinweise mit hoher Priorität
  • Wichtigster Patch für SAP Marketing—Eine Sicherheitslücke im Mobile Channel Servlet ermöglicht es nicht authentifizierten Benutzern, Aufgaben im Zusammenhang mit Kontakt- und Interaktionsdaten auszuführen
  • Gefahr durch Code-Injektion—Schwerwiegende Sicherheitslücke in der SAP NetWeaver AS platform

SAP hat an seinem Patch-Tag im September 20 neue und aktualisierte Sicherheitshinweise veröffentlicht. Darunter befinden sich vier HotNews-Hinweise und zwei Hinweise mit hoher Priorität. Bitte beachten Sie, dass unsere monatliche Analyse auch SAP-Sicherheitshinweise umfasst, die von SAP zwischen den Patch-Tagen im August und September veröffentlicht oder aktualisiert wurden. Zu diesen zusätzlichen Hinweisen gehört ein Update zum SAP-HotNews-Hinweis Nr. 2890213 [CVE-2020-6207] mit dem Titel „Fehlende Authentifizierungsprüfung im SAP Solution Manager“ und einem CVSS-Wert von 10,0. Das Update enthält nur geringfügige Textänderungen, die keine Maßnahmen seitens der Kunden erfordern. Dennoch kann es als freundliche Erinnerung dienen, zu überprüfen, ob Sie den Patch seit seiner ersten Veröffentlichung im März 2020 bereits angewendet haben. Details finden Sie hier.

Eine weitere SAP HotNews-Meldung , die bereits Ende August aktualisiert wurde, ist die SAP-Sicherheitsmitteilung Nr. 2622660, die die neueste Version des SAP Business Client enthält. Diese Version umfasst Chromium 84.0.4147.105, wodurch eine kritische und 13 Schwachstellen mit hoher Priorität in der Browsersoftware behoben werden. Der CVSS-Score dieser wiederkehrenden SAP-Sicherheitsnotiz bleibt bei 9,8, was dem maximalen CVSS-Score aller behobenen Sicherheitslücken im SAP Business Client entspricht, die jemals mit dieser Notiz gepatcht wurden.

Im Fokus: SAP Marketing Mobile Channel Servlet

Das Mobile Channel Servlet ist ein wesentlicher Bestandteil der technischen Infrastruktur, die für die Umsetzung mobiler Kampagnen in SAP Marketing erforderlich ist. Mobile Kampagnen bieten Angebote und Benachrichtigungen, die als mobile Push-Benachrichtigungen an Android- oder iOS-Geräte gesendet werden. Diese mobilen Push-Benachrichtigungen werden über Google Firebase weitergeleitet. 

Für eingehende Aktivitäten wie Benutzerregistrierungen muss das Mobilgerät eine Verbindung zum SAP Hybris Marketing Cloud herstellen. Daher muss das SAP Mobile SDK auf den Mobilgeräten installiert und das Mobile Channel Servlet aufPlatform SAP Cloud Platform bereitgestellt werden:

SAP-Sicherheitshinweise September 2020

Der SAP-Sicherheitshinweis Nr. 2961991, der mit einem CVSS-Wert von 9,6 versehen ist, behebt eine Sicherheitslücke im Mobile Channel Servlet, die es einem authentifizierten Angreifer ermöglicht, bestimmte Funktionen aufzurufen, deren Zugriff eingeschränkt ist. Durch Ausnutzung dieser Schwachstelle kann ein Angreifer Aufgaben im Zusammenhang mit Kontakt- und Interaktionsdaten ausführen. Als Workaround können Kunden das Servlet deaktivieren, falls die Installation des Patches nicht möglich ist. Eine detaillierte Beschreibung zur Deaktivierung des Servlets finden Sie im SAP-Sicherheitshinweis Nr. 2962970. Weitere nützliche Informationen finden Sie im SAP-Sicherheitshinweis Nr. 2963056.

Gefahr durch Code-Injektion auf ABAP-Servern

Die Reihe von vier HotNews-Hinweisen wird durch den SAP-Sicherheitshinweis Nr. 2958563vervollständigt und ist mit einem CVSS-Wert von 9,1 gekennzeichnet. Dieser Hinweis enthält einen Patch für eine Code-Injection-Sicherheitslücke in den Plattformen SAP NetWeaver AS ABAP und SAP ABAP, die es einem Angreifer ermöglicht, control vollständige control die Anwendung zu erlangen, einschließlich des Anzeigens, Änderns oder Löschens von Daten, indem er Code in den Arbeitsspeicher einschleust, der anschließend von der Anwendung ausgeführt wird. Sie kann auch dazu genutzt werden, einen allgemeinen Fehler in der Anwendung zu verursachen, der deren Beendigung zur Folge hat. Wichtig zu wissen: 

  • Nur ABAP-Server unter DB4 oder Sybase sind anfällig
  • Das Sicherheitslückenszenario ist für SAP ABAP for Cloud nicht relevant , und der beschriebene Angriff kann in cloud nicht ausgeführt werden

Weitere wichtige SAP-Sicherheitshinweise im September

Es wurden kleinere Aktualisierungen zu zwei Notizen mit hoher Priorität veröffentlicht. 

Der SAP-Sicherheitshinweis Nr. 2941667, der mit einem CVSS-Wert von 8,3 versehen ist, wurde ursprünglich amAugust-Patch-Day veröffentlicht und beschreibt eine weitere Code-Injection-Sicherheitslücke auf ABAP-Servern. Das Update enthält zusätzliche Informationen zu den Abhängigkeiten für SAP NetWeaver 7.0 und 7.01.

Der zweite Hinweis mit hoher Priorität, der SAP-Sicherheitshinweis Nr. 2912939, der mit einem CVSS-Wert von 7,6 versehen ist, enthält lediglich textliche Änderungen im Abschnitt „Lösung“ und erfordert keine Maßnahmen seitens der Kunden.

Zusammenfassung und Schlussfolgerungen

Der SAP-Patch-Day im September verläuft eher ruhig. Drei der sechs HotNews- und High-Priority-Hinweise enthalten lediglich mehr oder weniger unbedeutende Aktualisierungsinformationen, die keine Maßnahmen seitens der Kunden erfordern (im Vergleich zur ursprünglichen bzw. vorherigen Version der Hinweise). Die beiden HotNews-Hinweise #2961991und#2958563 betreffen nur eine kleine Anzahl von SAP-Kunden (SAP Marketing, SAP NetWeaver AS ABAP auf DB4 oder Sybase). Das gibt Ihnen genügend Zeit, den Status aller relevanten Sicherheitspatches in Ihren SAP-Systemen zu überprüfen.

SAP-Sicherheitshinweise September 2020

Wie immer Onapsis Research Labs bereits Onapsis Research Labs , die Platform zu aktualisieren und die neu veröffentlichten Sicherheitslücken in das Produkt zu integrieren, damit unsere Kunden ihre Unternehmen schützen können. 

Wenn Sie mehr über die neuesten SAP-Sicherheitsprobleme und unsere kontinuierlichen Bemühungen erfahren möchten, Wissen mit der Sicherheits-Community zu teilen, abonnieren Sie unseren monatlichen „Defender’s Digest Onapsis“-Newsletter.

Alle SAP-Sicherheitshinweise anzeigen

Stichwörter, ,
Über den Autor

Thomas Fritsch

Als führender SAP-Sicherheitsforscher bei Onapsis gilt Thomas Fritsch als anerkannte Autorität in den Bereichen vulnerability management und neue Bedrohungen. Aufgrund seiner langjährigen Erfahrung als SAP-Experte konzentriert er sich auf hochtechnische Bereiche wie die Konfiguration von SAP-Systemen und das Transportmanagement. Thomas’ Analysen der neuesten SAP-Sicherheitspatches und -Schwachstellen sind ein zentraler Bestandteil der Forschungsarbeit, die Unternehmen die fundierten und umsetzbaren Erkenntnisse liefert, die sie zum Schutz ihrer Systeme benötigen. Seine Rolle als angesehener Redner und Autor festigt seinen Ruf als maßgebliche Stimme im Bereich der SAP-Cybersicherheit und trägt dazu bei, die Lücke zwischen komplexer Forschung und praktischen Sicherheitsmaßnahmen in der realen Welt zu schließen.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen