SAP-Patch-Tag: November 2023
Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom November gehören:
- Zusammenfassung für November– Sechs neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter zwei „HotNews“-Hinweise und vier Hinweise mit mittlerer Priorität
- SAP Business One erfordert besondere Aufmerksamkeit – Control bei Control kann erhebliche Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit haben.
SAP hat anlässlich seines Patch Day im November sechs neue und aktualisierte Sicherheitshinweise veröffentlicht (einschließlich der Hinweise, die seit dem letzten Patch Tuesday veröffentlicht oder aktualisiert wurden). Darunter befinden sich zwei HotNews-Hinweise und vier Hinweise mit mittlerer Priorität.
Kleine Aktualisierungder HotNews-Notizen
Der SAP-Sicherheitshinweis Nr. 3340576, der mit einem CVSS-Wert von 9,8 versehen ist, wurde ursprünglich am SAP-Patch-Day im September veröffentlicht. Er behebt eine kritische fehlende Berechtigungsprüfung in der SAP CommonCryptoLib, die zu einer vollständigen Kompromittierung der betroffenen Anwendung führen könnte. SAP hat eine Aktualisierung des Hinweises mit geringfügigen Textänderungen veröffentlicht, die den im Abschnitt „Lösung“ genannten SAP-Hinweis für SAP-HANA-Database-2.0-Kunden auf SPS06 betreffen.
NeuerHotNews-Hinweis für SAP Business One
Die einzige neue HotNews-Meldung ist der SAP-Sicherheitshinweis Nr. 3355658, der mit einem CVSS-Wert von 9,6 versehen ist. Dieser Hinweis behebt eine Control unzureichenden Control , die durch den Installationsprozess von SAP Business One verursacht wird. Der Prozess gewährt anonymen Benutzern Lese- und Schreibzugriff auf den SMB-Freigabeordner. Betroffene Komponenten sind der Crystal Report (CR)-Freigabeordner, die Traditional Mobile App (Anhangspfad), RSP (Log-Ordner-Logik), Job Service und BAS (Datei-Upload-Ordner).
Obwohl der Hinweis nur einen Hotfix für SAP Business One 10.0 SP 2308 enthält, sind auch Installationen mit niedrigeren Support-Paket-Stufen (SP) von der Sicherheitslücke betroffen. Da für diese niedrigeren SP-Stufen weder ein Hotfix noch eine geeignete und sichere Abhilfe verfügbar ist, müssen betroffene Kunden ihre Installation auf SP 2308 aktualisieren und den bereitgestellten Hotfix implementieren. Kunden sollten außerdem den referenzierten FAQ-Hinweis Nr. 3400236 lesen.
Weitere neue Sicherheitshinweise
Es wurden zwei neue Sicherheitshinweise mit mittlerer Priorität veröffentlicht, die beide eine Sicherheitslücke mit Informationspreisgabe beheben, die mit einem CVSS-Wert von 5,3 bewertet wurde.
Der SAP-Sicherheitshinweis Nr. 3362849behebt eine Sicherheitslücke im SAP NetWeaver Application Server ABAP und in Platform , die zur Offenlegung von Informationen führen kann und Platform nicht authentifizierten Angreifern Platform , auf unbeabsichtigte Daten zuzugreifen. Der Hinweis enthält einen Kernel-Patch, der die betroffene ICM-Komponente behebt. Der SAP NetWeaver Application Server Java ist nicht betroffen.
Der SAP-Sicherheitshinweis Nr. 3366410behebt eine Sicherheitslücke im SAP NetWeaver Application Server Java, die zur Offenlegung von Informationen führen kann. Ein nicht authentifizierter Angreifer kann die Anmeldefunktion in der Anwendung „NetWeaver AS Java Logon“ mit Brute-Force-Angriffen ausnutzen, um gültige Benutzer-IDs zu ermitteln. Laut dem SAP-Hinweis hat ein Missbrauch dieser Sicherheitslücke lediglich Auswirkungen auf die Vertraulichkeit, nicht jedoch auf die Integrität oder Verfügbarkeit.
Zusammenfassung und Schlussfolgerungen
Ruhig, ruhiger, am ruhigsten… Das könnte das Motto der letzten drei SAP-Patch-Tage sein. Mit nur sechs neuen und aktualisierten SAP-Sicherheitshinweisen ist der SAP-Patch-Tag im November einer der ruhigsten, die wir je erlebt haben. Dennoch sollten SAP-Business-One-Kunden schnell reagieren und die Anweisungen in SAP-Sicherheitshinweis Nr. 3355658 befolgen.
| SAP-Hinweis | Typ | Beschreibung | Priorität | CVSS |
| 2494184 | Aktualisierung | Sicherheitslücke durch Cross-Site Request Forgery (CSRF) in mehreren SAP-Sybase-ProduktenBC-SYB-SQA | Mittel | 6,3 |
| 3355658 | Neu | [CVE-2023-31403] Control aufgrund unzureichender Control in der SAP-Business-One-ProduktinstallationSBO-CRO-SEC | Aktuelles | 9,6 |
| 3362849 | Neu | [CVE-2023-41366] Sicherheitslücke mit Offenlegung von Informationen in SAP NetWeaver Application Server ABAP und ABAP Platform BC-CST-IC | Mittel | 5,3 |
| 3366410 | Neu | [CVE-2023-42480] Offenlegung von Informationen in NetWeaver AS Java LogonBC-JAS-SEC | Mittel | 5,3 |
| 3333426 | Aktualisierung | [CVE-2023-42477] Serverseitige Request-Forgery in SAP NetWeaver AS Java (GRMG-Heartbeat-Anwendung)BC-JAS-ADM-MON | Mittel | 6,5 |
| 3340576 | Aktualisierung | [CVE-2023-40309] Fehlende Autorisierungsprüfung in SAP CommonCryptoLibBC-IAM-SSO-CCL | Aktuelles | 9,8 |
Wie immer Onapsis Research Labs die Onapsis Research Labs die Platformaktualisieren, um die neu veröffentlichten Sicherheitslücken in das Produkt zu integrieren, damit unsere Kunden ihre Unternehmen schützen können.
Weitere Informationen zu den neuesten SAP-Sicherheitsproblemen und unseren kontinuierlichen Bemühungen, Wissen mit der Sicherheits-Community zu teilen, finden Sie unter The Defenders Digest– unsere monatliche Videozusammenfassung der ERP-Sicherheitsnachrichten.