SAP-Sicherheitspatch-Tag Juni 2023
Cross-Site-Scripting verliert nie an Aktualität
Zu den Höhepunkten der Analyse der SAP-Sicherheitshinweise für Juni zählen dreizehn neue und aktualisierte SAP-Sicherheitspatches, darunter vier Hinweise mit hoher Priorität. Cross-Site-Scripting (XSS) war die häufigste Sicherheitslücke; es wurden acht Hinweise veröffentlicht, die diese Schwachstelle in verschiedenen Komponenten beheben. Darunter befinden sich zwei der vier Hinweise mit hoher Priorität; „Hot News“ gab es diesmal keine. In diesem Monat hat das Onapsis Research Labs zur Behebung einer Sicherheitslücke beigetragen, die das Transport Management System betrifft und zu einem Denial-of-Service führen kann.
Zwei der Hinweise mit hoher Priorität, Nr. 3326210 und Nr . 3324285, betreffen die SAPUI5-Komponente. Der erste wurde am Patch Day im Mai veröffentlicht und wird nun mit einer aktualisierten Lösung und einem aktualisierten Workaround erneut veröffentlicht. Der zweite Hinweis ist einer der acht XSS-Sicherheitshinweise und betrifft das UI5-Management.
SAP-Sicherheitshinweise mit hoher Priorität im Detail
Neu SAP-Sicherheitshinweise mit hoher Priorität SAP-Sicherheitshinweise
Der SAP-Sicherheitshinweis Nr. 3324285 mit einem CVSS-Wert von 8,2 behebt ein Problem im UI5-Variantenmanagement, das zu einer Stored-Cross-Site-Scripting-Schwachstelle (Stored XSS) führen könnte. Diese Schwachstelle ermöglicht es einem Angreifer, Zugriff auf Benutzerebene zu erlangen und die Vertraulichkeit, Integrität und Verfügbarkeit der UI5-Variantenmanagement-Anwendung zu gefährden.
Der zweite neue SAP-Sicherheitshinweis mit hoher Priorität ist Nr . 3301942. Dieser Hinweis ist mit einem CVSS-Score von 7,9 gekennzeichnet. Diese Sicherheitslücke ermöglicht es einem Angreifer, sich ohne gültiges JSON Web Token (JWT) mit SAP Plant Connectivity sowie dem Production Connector für SAP Digital Manufacturing zu verbinden, wodurch deren Integrität und die Integration mit SAP Digital Manufacturing gefährdet werden. Um diese Sicherheitslücke vollständig zu beheben, müssen beide Komponenten gepatcht und die JWT-Signaturvalidierung in den Cloud konfiguriert werden.
Aktualisierungen in bereits veröffentlichten SAP-Sicherheitshinweisen mit hoher Priorität SAP-Sicherheitshinweisen
Der SAP-Sicherheitshinweis Nr . 3326210, der mit einem CVSS-Wert von 7,1 versehen ist, wurde erstmals am Patch Day im Mai veröffentlicht und wird an diesem Patch Day aktualisiert. Der Hinweis behebt eine Sicherheitslücke durch unsachgemäße Neutralisierung im control „sap.m.FormattedText“, control einem Angreifer control , durch eine Phishing-Attacke Benutzerinformationen auszulesen oder zu verändern. Das Update enthält nur geringfügige textliche oder strukturelle Änderungen und bietet nun Unterstützung für SAP NetWeaver 7.58.
Der verbleibende aktualisierte Hinweis mit hoher Priorität enthält zudem kleinere textliche oder strukturelle Änderungen. Der SAP-Sicherheitshinweis Nr. 3102769, der mit einem CVSS-Score von 8,8 versehen ist, enthält einen Patch für eine kritische Cross-Site-Scripting-Sicherheitslücke im SAP Knowledge Warehouse. Er bietet zudem eine Abhilfe, die die Deaktivierung der anfälligen Anzeigekomponente beschreibt. Für SAP NetWeaver 7.31 und 7.40 werden neue Patches auf Patch-Ebene veröffentlicht.
Sicherheitshinweise zu Cross-Site-Scripting bei SAP
Obwohl es nur zwei SAP-Sicherheitshinweise mit hoher Priorität gibt, die eine Cross-Site-Scripting-Sicherheitslücke beheben, ist es erwähnenswert, dass am Patch Day im Juni sechs SAP-Sicherheitshinweise mit mittlerer Priorität veröffentlicht wurden.
Die SAP-Sicherheitshinweise Nr. 3319400 und Nr. 3315971 wurden erstmals am Patch Day im Mai veröffentlicht und sind nun aktualisiert. Der erste Hinweis besagt, dass SAP BusinessObjects 4.2 von der Sicherheitslücke nicht betroffen ist, und streicht diese Version aus der Liste der betroffenen Versionen. Anders verhält es sich mit dem Hinweis #3315971 und dem Problem in SAP CRM. In diesem Fall warnt SAP die Anwender hinsichtlich der Vollständigkeit des Fixes und empfiehlt die Umsetzung des SAP-Sicherheitshinweises #3322800, der ebenfalls am heutigen Patch Day veröffentlicht wurde.
Die SAP-Sicherheitshinweise Nr. 2826092, Nr . 3331627 und Nr . 3318657 beheben eine Cross-Site-Scripting-Sicherheitslücke in SAP CRM Grantor Management, SAP Enterprise Portal bzw. im Design Time Repository. Der SAP-Hinweis #3318657 ist mit einem CVSS-Score von 6,4 gekennzeichnet, die beiden anderen mit einem Score von 6,1. Der Patch für alle drei erfordert lediglich eine Aktualisierung der betroffenen Komponente.
Weitere Beiträge der Onapsis Research Labs
Die Onapsis Research Labs haben SAP bis einschließlich Juni im Jahr 2023 bereits bei 37 Patches mit Forschungsergebnissen unterstützt. Der Beitrag dieses Monats betrifft ein Problem im Transport Management System.
Mit einem Standardbericht lassen sich beliebig viele Transportaufträge erstellen und exportieren, wobei jeder Auftrag mehrere Objekte enthält und jedes Objekt mehrere Schlüssel aufweist. Jeder Schlüssel erzeugt mehrere Zeilen in der entsprechenden Protokolldatei des Transportexports.
Bei missbräuchlicher Nutzung kann ein Angreifer:
- Den Nummernkreis für Transportaufträge so lange auffüllen, bis er voll ist und somit überhaupt keine Transporte mehr angelegt werden können
- Füllen Sie den Speicherplatz auf der Festplatte, auf der sich das Transportverzeichnis befindet. Wenn ein zentrales Transportverzeichnis für mehrere Systemlandschaften verwendet wird oder wenn die Festplatte Teil eines zentralen Dateiservers ist und für andere Anwendungen genutzt wird, sind auch diese nicht mehr verfügbar.
Dieses Problem wird durch den SAP-Sicherheitshinweis Nr . 3325642 behoben; dazu muss der betreffende Standardbericht entfernt werden.
Zusammenfassung und Schlussfolgerung
Mit dreizehn neuen und aktualisierten SAP-Sicherheitshinweisen, darunter vier Hinweise mit hoher Priorität und keine HotNews-Hinweise, fällt der SAP-Patch-Day im Juni weniger umfangreich aus als in der Vergangenheit. Besondere Aufmerksamkeit sollte dem erneut veröffentlichten Hinweis Nr . 3315971 und dessen Aktualisierung Nr . 3322800 gewidmet werden, um die XSS-Sicherheitslücke in SAP CRM vollständig zu beheben.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Onapsis Research Labs aktualisiert die Platform Onapsis Research Labs mit den neuesten threat intelligence Sicherheitsempfehlungen, damit unsere Kunden den sich ständig weiterentwickelnden Bedrohungen immer einen Schritt voraus sind und ihre Unternehmen schützen können.
Weitere Informationen zu den neuesten SAP-Sicherheitsproblemen und unseren kontinuierlichen Bemühungen, Wissen mit der Sicherheits-Community zu teilen, finden Sie in unseren früheren Patch-Day-Blogbeiträgen. Abonnieren Sie außerdem unseren monatlichen „Defenders Digest“-Newsletter.
Über den Autor
