SAP-Patch-Tag: August 2023

Von:

8. August 2023

Neuer HotNews-Hinweis für SAP PowerDesigner und wichtiges Update zum HotNews-Hinweis vom Juli

Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom August gehören:

  • Zusammenfassung für August – Zwanzig neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter zwei HotNews-Hinweise und acht Hinweise mit hoher Priorität
  • Aktualisierte HotNews-Mitteilung erfordert besondere Aufmerksamkeit – Das Nichtbeachtender Hinweise kann zu Systeminkonsistenzen führen
  • Onapsis Research Labs – Unser Team hat SAP bei der Behebung von drei Sicherheitslücken unterstützt

SAP hat an seinem Patch Day im August zwanzig neue und aktualisierte Sicherheitshinweise veröffentlicht (einschließlich der Hinweise, die seit dem letzten Patch Tuesday veröffentlicht oder aktualisiert wurden). Darunter befinden sich zwei HotNews-Hinweise und acht Hinweise mit hoher Priorität. 

Die Onapsis Research Labs zur Behebung von drei Sicherheitslücken Onapsis Research Labs , die den SAP Message Server, SAP NetWeaver AS ABAP und Platform sowie den SAP Host Agent betrafen.

Wichtiger Hinweis zu HotNews – Aktualisierung

Der SAP-Sicherheitshinweis Nr. 3350297, der mit einem CVSS-Wert von 9,1 versehen ist, wurde ursprünglich am SAP-Patch-Day im Juli veröffentlicht. Er behebt eine Sicherheitslücke im Zusammenhang mit der Einfügung von Betriebssystembefehlen in IS-OIL. Das Update wurde am 25. Juli veröffentlicht und enthält eine ernste Warnung. Darin wird erläutert, dass IS-OIL auf fast allen SAP-Systemen installiert ist, was jedoch nicht bedeutet, dass diese Branchenlösung auf dem System auch aktiviert ist. Ein System ist nur dann für die OS-Befehlsinjektion anfällig, wenn die beiden Schalter OIB_QCI und OI0_COMMON_2 aktiviert sind. Daher besteht keine Notwendigkeit, die HotNews-Meldung zu implementieren, wenn diese Bedingung nicht erfüllt ist, und die eigentliche Botschaft des Updates lautet:

„Aktivieren Sie IS-OIL oder damit verbundene Geschäftsfunktionen oder Schalter nicht nur, um den SAP-Hinweis Nr . 3350297 zu implementieren. Die meisten IS-OIL-Schalter sind nicht rückgängig zu machen und können Schäden an Systemen verursachen, die nicht für IS-OIL relevant sind.“ 

Die OS-Befehlsinjektionsschwachstelle besteht, weil ein IS-OIL-Bericht die Übermittlung von Benutzereingaben an den anfälligen Funktionsbaustein ermöglicht. Da dieser Funktionsbaustein nicht RFC-fähig ist und der Bericht auch ohne aktiviertes IS-OIL ausgegeben wird, kann die Schwachstelle nicht ausgenutzt werden, wenn IS-OIL und die beiden Schalter nicht aktiviert sind.

Der mit hoher Priorität eingestufte Hinweis Nr . 3331376, der mit einem CVSS-Wert von 8,7 versehen ist, wurde seit dem letzten Patch Day ebenfalls aktualisiert. SAP hat den Abschnitt „Korrekturanweisungen“ um weitere Informationen ergänzt.   

Neuer HotNews -Hinweis für SAP PowerDesigner 

Die einzige neue HotNews-Meldung ist der SAP-Sicherheitshinweis Nr. 3341460, der mit einem CVSS-Wert von 9,8 versehen ist. Dieser Hinweis behebt zwei Sicherheitslücken in SAP PowerDesigner. Er betrifft Kunden, bei denen der SAP PowerDesigner-Client über einen SAP PowerDesigner-Proxy eine Verbindung zum gemeinsamen Modell-Repository herstellt. Control im Zusammenhang mit Control unzureichenden Control könnte es einem nicht authentifizierten Angreifer ermöglichen, über den Proxy beliebige Abfragen an die Backend-Datenbank zu senden. Diese Schwachstelle wird unter CVE-2023-37483 erfasst, und das Einzige, was verhindert, dass die Schwachstelle mit dem maximalen CVSS-Score von 10 bewertet wird, ist, dass der Umfang bei einem erfolgreichen Exploit unverändert bleibt.Der Hinweis behebt außerdem eine Schwachstelle im Zusammenhang mit der Offenlegung von Informationen, die mit einem CVSS-Wert von 5,3 bewertet wurde. Sie ermöglicht es einem Angreifer, auf Passwort-Hashes aus dem Speicher des Clients zuzugreifen. SAP weist darauf hin, dass für die Behebung ein Update des SAP PowerDesigner-Clients und des Proxys auf dieselbe neue Version erforderlich ist. Eine Mischung aus zwei Versionen könnte schwerwiegende Probleme verursachen. 

Die Notizen mit hoher Priorität im Detail

Obwohl der SAP-Sicherheitshinweis Nr . 3344295 nicht mit dem höchsten CVSS-Wert aller neuen Hinweise mit hoher Priorität versehen ist, könnte er die Mehrheit der SAP-Kunden betreffen, da er den SAP Message Server betrifft. Die Onapsis Research Labs ORL) haben eine Schwachstelle im Zusammenhang mit einer fehlerhaften Autorisierungsprüfung im SAP Message Server entdeckt, die es einem authentifizierten Angreifer ermöglicht, in das Netzwerk der SAP-Systeme einzudringen, die von dem angegriffenen SAP Message Server bedient werden. Die Schwachstelle ist mit einem CVSS-Wert von 7,5 bewertet und kann zu unbefugtem Lesen und Schreiben von Daten sowie zur Nichtverfügbarkeit des Systems führen. Glücklicherweise ist ein erfolgreicher Exploit nur unter den folgenden Bedingungen möglich:

  • Der SAP-Message-Server ist lediglich durch eine Zugriffskontrollliste (ACL) geschützt.
  • Der Profilparameter „system/secure_communication“ ist auf „OFF“ gesetzt.
  • Der interne Port des SAP Message Servers ist nicht geschützt.
  • Die Trace-Stufe des SAP Message Servers ist auf 2 oder höher gesetzt.
  • Die ACL-Datei enthält eine IP-Adresse.

Cloud SAP Commerce Cloud sind von der SAP-Sicherheitsmitteilung Nr . 3346500 betroffen, die mit einem CVSS-Wert von 8,8 bewertet wurde. Diese Mitteilung behebt eine Sicherheitslücke im Zusammenhang mit einer fehlerhaften Authentifizierung, die die Erstellung neuer Benutzer mit leeren Passwörtern ermöglicht. Der Patch setzt den Standardwert der entsprechenden Konfigurationseigenschaft „user.password.acceptEmpty“ auf „false“.

Auch SAP PowerDesigner ist von der HighPriority-Meldung Nr. 3341599 betroffen. Die behobene Code-Injection-Sicherheitslücke ist mit einem CVSS-Score von 7,8 bewertet und ermöglicht es einem Angreifer mit lokalem Zugriff auf das System, eine schädliche Bibliothek zu platzieren, die von der Anwendung ausgeführt werden kann. Nach einem erfolgreichen Exploit können Angreifer control Verhalten der Anwendung control . Dies betrifft nur Kunden, die ein Bundle aus SAP SQL Analyzer für PowerDesigner 17 und SAP PowerDesigner 16.7 SP06 PL03 verwenden.

Kunden von SAP BusinessObjects und SAP Business One sind jeweils von zwei Hinweisen mit hoher Priorität betroffen.

Der SAP-Sicherheitshinweis Nr. 3317710, der mit einem CVSS-Wert von 7,6 bewertet wurde, behebt eine „Binary Hijack“-Sicherheitslücke im SAP BusinessObjects Installer. Die Sicherheitslücke ermöglicht es einem authentifizierten Angreifer innerhalb des Netzwerks, eine während des Installationsvorgangs in einem temporären Verzeichnis erstellte ausführbare Datei zu überschreiben. Durch das Ersetzen dieser ausführbaren Datei durch eine schädliche Datei kann ein Angreifer die Vertraulichkeit, Integrität und Verfügbarkeit des Systems vollständig gefährden.

Der SAP-Sicherheitshinweis Nr. 3312047, der mit einem CVSS-Wert von 7,5 versehen ist, enthält einen Patch für eine Denial-of-Service-Sicherheitslücke in Platform SAP BusinessObjects Business Intelligence Platform CMC). Der Patch umfasst eine neuere Version des Bibliothekspakets „Apache Commons FileUpload“, die nicht von CVE-2023-24998 betroffen ist. 

Der SAP-Sicherheitshinweis Nr. 3358300 behebt eine Cross-Site-Scripting-Sicherheitslücke in SAP Business One. Die Sicherheitslücke ist mit einem CVSS-Wert von 7,6 bewertet und ermöglicht es einem Angreifer, bösartigen Code in den Inhalt einer Webseite oder Anwendung einzuschleusen und an den Client zu übermitteln. Dies könnte zu schädlichen Aktionen führen, die die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung beeinträchtigen. Der Patch fügt dem betroffenen Anwendungsszenario eine Eingabevalidierung und eine erweiterte Content Security Policy (CSP) hinzu.

Der SAP-Sicherheitshinweis Nr. 3337797, der mit einem CVSS-Wert von 7,1 bewertet wurde, behebt eine SQL-Injection-Sicherheitslücke in der B1i-Schicht von SAP Business One. Bleibt das System ungepatcht, kann ein authentifizierter Angreifer manipulierte Abfragen über das Netzwerk senden, um Daten auszulesen oder zu verändern. 

Weitere Beiträge der Onapsis Research Labs

Neben dem Hinweis mit hoher Priorität Nr . 3344295 trug das ORL zur Behebung einer Schwachstelle mit mittlerer Priorität und einer Schwachstelle mit niedriger Priorität bei.

Laut SAP behebt die Sicherheitsmitteilung Nr . 3348000, die mit einem CVSS-Wert von 4,9 versehen ist, eine Schwachstelle aufgrund einer fehlenden Berechtigungsprüfung in SAP NetWeaver AS ABAP und Platform. Eine detaillierte Analyse zeigt, dass es sich eher um eine Schwachstelle aufgrund einer fehlerhaften Berechtigungsprüfung als um eine Schwachstelle aufgrund einer fehlenden Berechtigungsprüfung handelt. Das Problem besteht darin, dass die bestehende Autorisierungsprüfung im betroffenen RFC-fähigen Funktionsbaustein PFL_READ_FROM_FILE eine wesentlich strengere Benutzerberechtigung anfordert, als erforderlich ist. Dies könnte zu einer Rechteausweitung führen, da die angeforderte Berechtigung es dem Benutzer ermöglichen könnte, andere, kritischere Aktivitäten auf dem System auszuführen. Der Patch deaktiviert den Funktionsbaustein. Wir empfehlen daher zu prüfen, ob er in Kundenentwicklungen verwendet wird, beispielsweise in Programmen zur Überwachung von Profilparametern. Der SAP-Sicherheitshinweis Nr. 3358328, der mit einem CVSS-Score von 3,7 bewertet wurde, betrifft den SAP Host Agent. Er behebt eine Schwachstelle durch Informationspreisgabe, die durch eine fehlende Authentifizierungsprüfung verursacht wird und es einem Angreifer ermöglicht, einige weniger sensible Informationen über den Server zu sammeln. SAP empfiehlt, den SAP Host Agent auf mindestens Version 7.22 PL61 zu aktualisieren und einen der unterstützten Authentifizierungsmechanismen zu verwenden.

Zusammenfassung und Schlussfolgerungen

Die Anzahl der neuen SAP-Sicherheitshinweise am Patch-Tag im August ist mit der des Vormonats vergleichbar. Die meisten der behobenen Sicherheitslücken betreffen SAP PowerDesigner, SAP BusinessObjects und SAP Business One. Der aktualisierte HotNews-Hinweis vom Juli zeigt, dass es entscheidend ist, genau auf den Wortlaut eines Sicherheitshinweises zu achten, um schwerwiegende Nebenwirkungen zu vermeiden.

SAP-Hinweis

Typ

Beschreibung

Priorität

CVSS

3312586

Neu

[CVE-2023-39440] Sicherheitslücke, die zur Offenlegung von Informationen führt, in Platform SAP BusinessObjects Business Intelligence Platform

 

BI-RA-WBI

Mittel

4,4

3358300

Neu

[CVE-2023-39437] Cross-Site-Scripting-Sicherheitslücke (XSS) in SAP Business One

 

SBO-CRO-SEC

Hoch

7,6

3317710

Neu

[CVE-2023-37490] Binary-Hijack in der SAP BusinessObjects Business Intelligence Suite (Installationsprogramm)

 

BI-BIP-INS

Hoch

7,6

3312047

Neu

Sicherheitslücke, die einen Denial-of-Service-Angriff (DoS) ermöglicht, aufgrund der Verwendung einer anfälligen Version von Commons FileUpload in Platform SAP BusinessObjects Business Intelligence Platform CMC)

 

BI-BIP-CMC

Hoch

7,5

3348000

Neu

[CVE-2023-37492] Fehlende Autorisierungsprüfung in SAP NetWeaver AS ABAP und ABAP Platform

 

BC-CCM-CNF-PFL

Mittel

4,9

3344295

Neu

[CVE-2023-37491] Sicherheitslücke aufgrund einer fehlerhaften Autorisierungsprüfung im SAP Message Server

 

BC-CST-MS

Hoch

7,5

3341599

Neu

[CVE-2023-36923] Sicherheitslücke durch Code-Injektion in SAP PowerDesigner

 

BC-SYB-PD

Hoch

7,8

3341460

Neu

[CVE-2023-37483] Mehrere Sicherheitslücken in SAP PowerDesigner

 

BC-SYB-PD

Aktuelles

9,8

3358328

Neu

[CVE-2023-36926] Sicherheitslücke durch Offenlegung von Informationen im SAP Host Agent

 

BC-CCM-HAG

Niedrig

3,7

3350494

Neu

[CVE-2023-37488] Cross-Site-Scripting-Sicherheitslücke (XSS) in SAP NetWeaver Process Integration

 

BC-XI-IBF-WU

Mittel

6,1

3333616

Neu

[CVE-2023-37487] Sicherheitslücke aufgrund einer Fehlkonfiguration in SAP Business One (Service Layer)

 

SBO-CRO-SEC

Mittel

5,3

3337797

Neu

[CVE-2023-33993] SQL-Injection-Sicherheitslücke in SAP Business One (B1i-Ebene)

 

SBO-CRO-SEC

Hoch

7,1

3341934

Neu

[CVE-2023-37486] Sicherheitslücke durch Offenlegung von Informationen in SAP Commerce (OCC-API)

 

CEC-SCC-COM-BC-OCC

Mittel

5,9

3149794

Neu

Cross-Site-Scripting-Schwachstellen (XSS) in der jQuery-UI-Bibliothek, die im Lieferumfang von SAPUI5 enthalten ist

 

CA-UI5-COR

Mittel

6,1

3156972

Neu

Sicherheitslücke durch URL-Umleitung in SAP S/4HANA (Verwaltete Katalogartikel und Katalogsuche)

 

MM-FIO-PUR-REQ-SSP

Niedrig

3,5

2067220

Neu

[CVE-2023-39436] Offenlegung von Informationen in SAP Supplier Relationship Management

 

SRM-EBP-ADM-XBP

Mittel

5,8

3346500

Neu

[CVE-2023-39439] Fehlerhafte Authentifizierung in Cloud SAP Commerce Cloud

 

CEC-SCC-PLA-PL

Hoch

8,8

3350297

Aktualisierung

[CVE-2023-36922] Sicherheitslücke durch OS-Befehlsinjektion in SAP ECC und SAP S/4HANA (IS-OIL)

 

IS-OIL-DS-HPM

Aktuelles

9,1

3331376

Aktualisierung

[CVE-2023-33989] Sicherheitslücke durch Verzeichnisüberquerung in SAP NetWeaver (BI CONT ADD ON)

 

BW-BCT-GEN

Hoch

8,7

2032723

Aktualisierung

Aktivierbare Berechtigungsprüfungen für RFC in SRM

 

SRM-EBP-INT

Mittel

6,3

Wie immer Onapsis Research Labs die Onapsis Research Labs die Platform aktualisieren, um die neu veröffentlichten Sicherheitslücken in das Produkt zu integrieren, damit unsere Kunden ihre Unternehmen schützen können.

Weitere Informationen zu den neuesten SAP-Sicherheitsproblemen und unseren kontinuierlichen Bemühungen, Wissen mit der Sicherheits-Community zu teilen, finden Sie unter The Defenders Digest– unsere monatliche Videozusammenfassung der ERP-Sicherheitsnachrichten.

Stichworte,
Über den Autor

Thomas Fritsch

Als führender SAP-Sicherheitsforscher bei Onapsis gilt Thomas Fritsch als anerkannte Autorität in den Bereichen vulnerability management und neue Bedrohungen. Aufgrund seiner langjährigen Erfahrung als SAP-Experte konzentriert er sich auf hochtechnische Bereiche wie die Konfiguration von SAP-Systemen und das Transportmanagement. Thomas’ Analysen der neuesten SAP-Sicherheitspatches und -Schwachstellen sind ein zentraler Bestandteil der Forschungsarbeit, die Unternehmen die fundierten und umsetzbaren Erkenntnisse liefert, die sie zum Schutz ihrer Systeme benötigen. Seine Rolle als angesehener Redner und Autor festigt seinen Ruf als maßgebliche Stimme im Bereich der SAP-Cybersicherheit und trägt dazu bei, die Lücke zwischen komplexer Forschung und praktischen Sicherheitsmaßnahmen in der realen Welt zu schließen.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen