SAP Security Patch Day Mai 2021: Ruhiger Patch Day mit SAP Business One im Fokus

Von:

11. Mai 2021

Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom Mai gehören:

  • Zusammenfassung für Mai –14 neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter drei „HotNews“-Meldungen und drei Meldungen mit hoher Priorität
  • Im Fokus: SAP Business One (B1) –Probleme bei Installationen auf Basis von Chef-Cookbooks
  • Ruhiger Patch-Tag –Nur neun neue Sicherheitshinweise seit dem Patch-Tag im April

SAP® hat im Rahmen seines Patch-Releases vom Mai 2021 14 neue und aktualisierte SAP-Sicherheitshinweise veröffentlicht, darunter auch die Hinweise, die seit dem letzten Patch Day erschienen sind. Im Rahmen des diesjährigen Patch-Releases gibt es drei „HotNews“-Hinweise und drei Hinweise mit hoher Priorität.

Bei genauerer Betrachtung wird jedoch erneut deutlich, dass nicht alle sechs kritischen Anmerkungen wirklich neu sind:

Der SAP-Sicherheitshinweis Nr. 3040210, der mit einem CVSS-Wert von 9,9 versehen ist, wurde nur sechs Tage nach seiner ursprünglichen Veröffentlichung am April-Patch-Day aktualisiert. Der Hinweis enthält einen Patch für die Rules Engine in SAP Commerce On-Premise und SAP Commerce Cloud. Leider lässt sich der Grund für die Aktualisierung nicht feststellen, doch man kann davon ausgehen, dass es sich um nichts Nennenswertes handelt, da SAP normalerweise aktualisierte Hinweise mit Informationen zum Grund der Aktualisierung veröffentlicht, wenn diese von größerer Bedeutung sind.

Die Gültigkeit der Korrekturanweisungen im SAP-Sicherheitshinweis Nr. 2999854, der ebenfalls mit einem CVSS-Wert von 9,9 versehen ist, wurde verlängert. Der Hinweis, der kritische Code-Injection-Schwachstellen in SAP Business Warehouse und SAP BW/4HANA behebt, enthält nun zusätzliche Korrekturanweisungen für SAP BW 7.40 SP3 und SP4. 

Mit dem SAP-Sicherheitshinweis Nr . 2622660 wurde ein neuer Patch für den SAP Business Client veröffentlicht. Der SAP Business Client enthält nun Chromium Version 90.0.4430.93. Im Vergleich zur zuletzt unterstützten Chromium-Version (89.0.4389.90) behebt diese neue Version insgesamt 63 Sicherheitsprobleme, darunter 22 Patches mit hoher Priorität, die auf extern gemeldeten Problemen basieren. Der höchste CVSS-Wert aller neu behobenen Schwachstellen liegt bei 9,6.

Im Fokus: SAP Business One

Zwei der insgesamt drei Notizen mit hoher Priorität beheben Probleme in SAP Business One (B1). Beide werden durch Installationen verursacht, die über Chef Cookbooks durchgeführt wurden.

Chef ist eine von Opscode entwickelte Technologie zur Konfigurationsverwaltung, die zur Verwaltung von Infrastruktur auf physischen oder virtuellen Maschinen dient. Es handelt sich um ein Open-Source-Tool, das dabei hilft, komplexe Infrastrukturen im Handumdrehen zu verwalten.

Chef-Cookbooks enthalten Werte und Informationen zum gewünschten Zustand eines verwalteten Knotens. Mithilfe des Cookbooks stellen der Chef-Server und der Chef-Client sicher, dass der definierte Zustand erreicht wird.

SAP stellt auf GitHub zwei Chef-Cookbooks für die automatisierte Installation von SAP-Business-One-Testsystemen bereit – eines für SAP B1 auf MS SQL Server und eines für SAP B1 auf SAP HANA. Die Sicherheitslücke im ersten Cookbook wird in der SAP-Sicherheitsmitteilung Nr. 3049755 beschrieben, die mit einem CVSS-Score von 7,8 versehen ist, und kann zu einer Offenlegung von Gehaltsdaten führen. Die Probleme im Cookbook für SAP B1 auf SAP HANA wurden mit dem SAP-Sicherheitshinweis Nr. 3049661 behoben, der ebenfalls mit einem maximalen CVSS-Score von 7,8 versehen ist, und können zusätzlich zur Einschleusung von Schadcode führen, wodurch ein Angreifer control Verhalten der gesamten Anwendung control . Beide Hinweise verweisen auf eine aktualisierte Version der Cookbooks auf GitHub und empfehlen, die betroffenen Testsysteme zu löschen und neu anzulegen.

Weitere wichtige SAP-Sicherheitshinweise im Mai

Am Mai-Patch-Day wurde lediglich ein weiterer Hinweis mit hoher Priorität veröffentlicht. Der SAP-Sicherheitshinweis Nr . 3046610, der mit einem CVSS-Wert von 8,2 versehen ist, betrifft SAP NetWeaver AS ABAP bis zur Version 7.31. Diese Versionen enthalten ein SAP-Basis-Programm, das das Einschleusen von Schadcode ermöglicht und es somit einem Angreifer, der Zugriff auf das lokale SAP-System hat, erlaubt, Daten zu lesen und zu überschreiben sowie einen Denial-of-Service-Angriff auszulösen. Nur die Notwendigkeit des lokalen Zugriffs sowie die Tatsache, dass ein Angreifer hohe Berechtigungen benötigt, um das Programm auszuführen, verhindern, dass diese Schwachstelle mit einem CVSS-Score von 10 bewertet wird!

Zusammenfassung und Schlussfolgerungen

Der SAP-Patch-Day im Mai verlief recht ruhig. Zwei der drei HotNews-Meldungen enthalten lediglich kleinere Aktualisierungen, und die dritte betrifft das wiederkehrende Update für den SAP Business Client. Dennoch lassen sich aus diesem Patch-Day drei Erkenntnisse ableiten. Die beiden gemeldeten Sicherheitslücken in SAP Business One zeigen deutlich: 

  • Verwenden Sie für die Systeminstallation und den Systembetrieb niemals Werkzeuge und Methoden, die nicht ausdrücklich von SAP für den Produktivbetrieb freigegeben sind.
  • Anonymisieren Sie Ihre Testdaten, wann immer dies möglich ist
  • Trennen Sie Ihre Testumgebung technisch von Ihrer Produktionsumgebung
SAP Mai 2021

Wie immer Onapsis Research Labs die Platform kontinuierlich, um neu bekannt gewordene Sicherheitslücken in das Produkt zu integrieren, damit unsere Kunden ihre Unternehmen schützen können.

Wenn Sie mehr über die neuesten SAP-Sicherheitsprobleme und unsere kontinuierlichen Bemühungen erfahren möchten, Wissen mit der Sicherheits-Community zu teilen, abonnieren Sie unseren monatlichen „Defender’s Digest Onapsis“-Newsletter.

Tags,
Über den Autor

Thomas Fritsch

Als führender SAP-Sicherheitsforscher bei Onapsis gilt Thomas Fritsch als anerkannte Autorität in den Bereichen vulnerability management und neue Bedrohungen. Aufgrund seiner langjährigen Erfahrung als SAP-Experte konzentriert er sich auf hochtechnische Bereiche wie die Konfiguration von SAP-Systemen und das Transportmanagement. Thomas’ Analysen der neuesten SAP-Sicherheitspatches und -Schwachstellen sind ein zentraler Bestandteil der Forschungsarbeit, die Unternehmen die fundierten und umsetzbaren Erkenntnisse liefert, die sie zum Schutz ihrer Systeme benötigen. Seine Rolle als angesehener Redner und Autor festigt seinen Ruf als maßgebliche Stimme im Bereich der SAP-Cybersicherheit und trägt dazu bei, die Lücke zwischen komplexer Forschung und praktischen Sicherheitsmaßnahmen in der realen Welt zu schließen.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen