SAP-Sicherheitspatch-Tag Juli 2022: Drei Anwendungen im Fokus
Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom Juli gehören:
- Zusammenfassung für Juli– 27 neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter sechs Hinweise mit hoher Priorität
- Drei Schwerpunktbereiche – SAP Business One (B1), SAP Business Objects (BO) und SAP Enterprise Portal (EP)
- Beitrag von Onapsis–Onapsis Research Labs SAP bei der Behebung einer Sicherheitslücke aufgrund fehlender Berechtigungsprüfung in SAP Enterprise Extension „Defense Forces and Public Security“
SAP hat im Rahmen seines Patch-Releases vom Juli 2022 27 neue und aktualisierte SAP-Sicherheitshinweise veröffentlicht, darunter auch die Hinweise, die seit dem letzten Patch-Tag erschienen sind. Im Rahmen des diesjährigen Patch-Releases gibt es sechs Hinweise mit hoher Priorität.
Die heutigen SAP-Sicherheitshinweise betreffen drei Hauptbereiche. Daher Onapsis Research Labs , alle nachstehenden Details zu prüfen, bevor die entsprechenden Patches implementiert werden.
Drei Notizen mit hoher Priorität für SAP Business One veröffentlicht
Die meisten der heutigen „High Priority Notes“ wurden für SAP Business One (B1) gemietet.
Der SAP-Sicherheitshinweis Nr. 3212997, der mit einem CVSS-Wert von 7,6 bewertet wurde, behebt eine kritische Sicherheitslücke, die zur Offenlegung von Informationen in Integrationsszenarien von SAP B1 und SAP HANA führt. Die Sicherheitslücke ermöglicht es einem Angreifer mit weitreichenden Berechtigungen, Zugriff auf sensible Informationen wie Anmeldedaten für Konten mit hohen Berechtigungen zu erlangen, die zur Durchführung weiterer Angriffe genutzt werden könnten.
Der SAP-Sicherheitshinweis Nr. 3157613, der mit einem CVSS-Wert von 7,5 versehen ist, behebt ein Problem in der Lizenzdienst-API von SAP B1. Eine fehlende Authentifizierungsprüfung ermöglicht es einem nicht authentifizierten Angreifer, böswillige HTTP-Anfragen über das Netzwerk zu senden, um die Anwendung lahmzulegen und unzugänglich zu machen. Für SAP-Kunden, die den entsprechenden Patch nicht sofort anwenden können, verweist der Hinweis auf den Knowledge-Base-Artikel Nr. 3189816, der eine vorübergehende Abhilfe beschreibt, wie der Zugriff von Endbenutzern auf die Lizenz-API verhindert werden kann.
Der dritte Hinweis mit hoher Priorität ist der SAP-Sicherheitshinweis Nr. 3191012, der mit einem CVSS-Wert von 7,4 bewertet wurde. Dieser Hinweis behebt eine Code-Injection-Sicherheitslücke im SAP-B1-Client. Die Sicherheitslücke ermöglicht es einem Angreifer mit geringen Berechtigungen, control Verhalten der Anwendung zu control . Es gibt keine geeignete Abhilfe; daher wird die Installation des entsprechenden Patches dringend empfohlen.
Am Juli-Patch-Day von SAP wurde ein vierter SAP-Sicherheitshinweis für SAP B1 mit mittlerer Priorität veröffentlicht. Der Hinweis Nr . 3211203 beschreibt eine Denial-of-Service-Sicherheitslücke, die auf eine unzureichende Eingabevalidierung von XML-Daten zurückzuführen ist.
Hinweis: Alle vier Sicherheitslücken wurden mit SAP Business One 10.0 FP 2202 behoben. Ein guter Ausgangspunkt für eine Zusammenfassung der Informationen und Angaben zum Upgrade-Pfad sind diese beiden SAP-Übersichtsnotizen:
- Hinweis Nr . 3149778 – Übersichtshinweis für SAP Business One 10.0 FP 2202
- Hinweis Nr. 3149802 – Übersichtshinweis für SAP Business One 10.0 FP 2202, Version für SAP HANA
Sechs SAP-Sicherheitshinweise für SAP Business Objects veröffentlicht, darunter ein Hinweis mit hoher Priorität
Betrachtet man ausschließlich den CVSS-Wert, so gilt die SAP-Sicherheitsnotiz Nr. 3221288 mit einem CVSS-Wert von 8,3 als die kritischste Schwachstelle des SAP-Patch-Days im Juli. Eine Schwachstelle in der Central Management Console (CMC) der SAP Business Objects Business Intelligence Platform ermöglicht es einem nicht authentifizierten Angreifer, über das Netzwerk Token-Informationen abzugreifen, die andernfalls eingeschränkt zugänglich wären. Glücklicherweise würde ein solcher Angriff zudem erfordern, dass ein legitimer Benutzer auf die Anwendung zugreift. Bei erfolgreicher Ausnutzung kann der Angreifer die Anwendung vollständig kompromittieren. Der Hinweis enthält keinen herunterladbaren Patch, aber im Abschnitt „Lösung“ heißt es: „Dies ist behoben in … 4.2 SP09 Patch 9, 4.3 SP01 und höheren Versionen.“
Der folgende Abschnitt fasst alle sechs SAP-Sicherheitshinweise für Business Objects zusammen und enthält Informationen für eine effiziente Patch-Installation:
|
|
|
|
|
|
|
|
|
4.2 SP009 PL000000 |
|
|
|
|
4.2 SP009 PL000800 |
|
|
|
|
4.2 SP009 PL000900 |
|
|
|
|
4.2 SP009 PL000800 |
|
|
|
|
4.2 SP009 PL000900 |
|
|
|
|
4.2 SP009 PL000900 |
Die unten aufgeführten Support-Paket-Patches beheben alle sechs Sicherheitslücken:
4.2 SP009 PL000900
4.3 SP001 PL001300
SP002 PL000400
SP003 PL000000
Sechs Cross-Site-Scripting-Sicherheitslücken im SAP Enterprise Portal behoben
Für das SAP Enterprise Portal wurden sechs SAP-Sicherheitshinweise veröffentlicht. Sie alle beheben Cross-Site-Scripting-Schwachstellen und sind mit einem CVSS-Score von 6,1 versehen:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Die drei SAP-Sicherheitshinweise, die EP-RUNTIME betreffen, werden alle mit denselben Support-Package-Patches behoben. Im Abschnitt „Support-Package-Stack“ gibt es bei SAP-Sicherheitshinweis Nr . 3210779 einen kleinen Unterschied: Für EP-RUNTIME 7.50 SP018 werden keine Patch-Informationen bereitgestellt.
Weitere wichtige Hinweise im Juli
Der SAP-Sicherheitshinweis Nr. 2726124, der mit einem CVSS-Wert von 6,3 bewertet wurde, wurde bereits Ende Juni veröffentlicht. Der Hinweis behebt eine Sicherheitslücke aufgrund fehlender Berechtigungsprüfungen in mehreren Komponenten von SAP Automotive Solutions. Die Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung werden als gering eingestuft, doch ist die Ausnutzung der Schwachstelle relativ einfach, da ein Angriff aus der Ferne gestartet werden kann und keine erweiterten Berechtigungen erfordert.
Der SAP-Sicherheitshinweis Nr. 3147498, der mit einem CVSS-Wert von 7,4 versehen ist, enthält geringfügige textliche Aktualisierungen für einen Patch, der ursprünglich am Patch Day im Juni von SAP veröffentlicht wurde. Der Patch behebt eine Sicherheitslücke in SAP NetWeaver AS Java, die einen unbefugten Zugriff auf einige wichtige Dienste ermöglicht.
Onapsis Research Labs
Onapsis Research Labs (ORL) unterstützte SAP bei der Behebung einer Sicherheitslücke aufgrund einer fehlenden Autorisierungsprüfung in der hochsensiblen SAP-Enterprise-Extension-Anwendung „Defense Forces & Public Security“. ORL stellte fest, dass einer der remote-fähigen Funktionsbausteine dieser Anwendung aufgrund einer fehlenden expliziten Autorisierungsprüfung kompromittiert werden kann. Dies kann zu einer Rechteausweitung führen, die die Vertraulichkeit der Anwendung beeinträchtigt. Der SAP-Sicherheitshinweis Nr. 3196280, der mit einem CVSS-Score von 4,3 versehen ist, behebt dieses Problem und stellt einen Patch bereit, der eine ausreichende Autorisierungsprüfung enthält.
Zusammenfassung und Schlussfolgerungen
Der SAP-Patch-Day im Juli zeigt, dass es sinnvoll ist, zunächst alle SAP-Sicherheitshinweise durchzugehen, bevor mit der Installation der Patches begonnen wird. Das Erkennen von Gruppen von Sicherheitshinweisen, die dieselbe Anwendung und Softwarekomponente betreffen, trägt dazu bei, den Arbeits- und Zeitaufwand für die Patch-Installation erheblich zu reduzieren.
Wie immer Onapsis Research Labs die Platform kontinuierlich, um neu bekannt gewordene Sicherheitslücken in unsere Produkte zu integrieren, damit Kunden ihre Unternehmen schützen können.
Wenn Sie mehr über die neuesten SAP-Sicherheitsprobleme und unsere kontinuierlichen Bemühungen erfahren möchten, Wissen mit der Sicherheits-Community zu teilen, abonnieren Sie unseren monatlichen „Defender’s Digest Onapsis“-Newsletter.