SAP-Patch-Tag: Oktober 2023

Von:

10. Oktober 2023

Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom Oktober gehören:

  • Zusammenfassung für Oktober – Neun neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter eine HotNews-Meldung   
  • SAP Business Client-Update – Chromium-Korrekturen, die besonderer Beachtung bedürfen
  • Log-Injection in SAP NW AS Java – Zur vollständigen Behebung sind zwei Patches erforderlich

SAP hat im Rahmen seines „Patch Day“ im Oktober neun neue und aktualisierte Sicherheitshinweise veröffentlicht (einschließlich der Hinweise, die seit dem „Patch Tuesday“ im September veröffentlicht oder aktualisiert wurden). Darunter befindet sich ein „Hot News“-Hinweis. 

Der SAP-Patch-Day im Oktober verlief äußerst ruhig. Die einzige „Hot News Note“ ist eine Aktualisierung des SAP-Sicherheitshinweises Nr . 2622660, der regelmäßige Patches für den SAP Business Client enthält, darunter die neuesten getesteten Chromium-Patches. Die übrigen veröffentlichten SAP-Sicherheitshinweise haben mittlere Priorität. 

HotNews -Meldung Nr . 2622660 im Detail

Kunden des SAP Business Client wissen bereits, dass Updates dieses Hinweises stets wichtige Korrekturen enthalten, die unbedingt umgesetzt werden müssen. Das neueste Update des Hinweises umfasst 37 Chromium-Korrekturen, darunter zwei Probleme mit der Priorität „Kritisch“ und zwanzig mit der Priorität „Hoch“. Die beiden kritischen Patches beheben CVE-2023-4863, das einen Fehler in der Bildwiedergabebibliothek des WebP-Codecs (libwebp) beschreibt. Die WebP-Codec-Bibliothek dient zur Kodierung und Dekodierung von Bildern im WebP-Format und ist nicht nur in Chrome enthalten, sondern wird auch von Chromium genutzt und ist in vielen anderen Anwendungen wie Firefox, Edge, Opera, Signal und Telegram integriert. Laut Google kann die Sicherheitslücke bereits durch das Anzeigen eines manipulierten Bildes ausgenutzt werden. Google gibt an, dass bereits Exploits für CVE-2023-4863 im Umlauf sind. Dies gilt auch für das Problem mit hoher Priorität CVE-2023-5217, das mit Chromium 117.0.5938.132 behoben wurde. Im Zusammenhang mit dem SAP Business Client beträgt der maximale CVSS-Score, den SAP für alle neuen Chromium-Korrekturen ermittelt hat, 8,8. 

Informationen zum SAP-Sicherheitshinweis Nr . 3371873

Der SAP-Sicherheitshinweis Nr. 3371873, der mit einem CVSS-Score von 5,3 versehen ist, stellt eine Aktualisierung des Hinweises Nr. 3324732 dar, der ursprünglich von SAP am Patch Day im Juli veröffentlicht wurde. Beide Hinweise beheben eine Log-Injection-Sicherheitslücke in SAP NetWeaver AS for Java, die SAP Onapsis Research Labs dieses Jahres von den Onapsis Research Labs gemeldet wurde. Im Gegensatz zu vielen anderen Updates ersetzt der Update-Hinweis Nr . 3371873 den ursprünglichen Patch nicht vollständig. Kunden müssen beide Hinweise implementieren, um vollständig geschützt zu sein. Während der ursprüngliche Hinweis Nr. 3324732 Patches für alle drei betroffenen Softwarekomponenten (ENGINEAPI, SERVERCORE und J2EE-APPS) enthält, aktualisiert der Hinweis Nr. 3371873 nur die ENGINEAPI-Komponente, da der Patch Nr. 3324732 für diese Komponente unvollständig war.

Zusammenfassung und Schlussfolgerung

Mit nur neun SAP-Sicherheitshinweisen und ohne neue „Hot News“ oder Hinweise mit hoher Priorität zählt der SAP-Patch-Day im Oktober zu den ruhigsten Patch-Tagen der letzten fünf Jahre. Obwohl SAP die neu behobenen Chromium-Sicherheitslücken im Zusammenhang mit dem SAP Business Client mit einem maximalen CVSS-Wert von 8,8 bewertet hat, empfehlen wir Ihnen dringend, die verfügbaren Ressourcen auf weitere betroffene Anwendungen zu überprüfen, die auf Ihrem geschäftlichen oder privaten PC laufen, da die Sicherheitslücken Ihre Frontends gefährden. 
 

SAP-Hinweis

Typ

Beschreibung

Priorität

CVSS

3333426

Neu

[CVE-2023-42477] Serverseitige Request-Forgery in SAP NetWeaver AS Java (GRMG-Heartbeat-Anwendung)

 

BC-JAS-ADM-MON

Mittel

6,5

3372991

Neu

[CVE-2023-42474] Cross-Site-Scripting-Sicherheitslücke (XSS) in SAP BusinessObjects Web Intelligence

 

BI-RA-WBI-FE

Mittel

6,8

3222121

Neu

[CVE-2023-42475] Sicherheitslücke durch Offenlegung von Informationen in der gesetzlich vorgeschriebenen Berichterstattung

 

FI-LOC-SRF-RUN

Mittel

4,3

3338380

Neu

[CVE-2023-41365] Sicherheitslücke durch Offenlegung von Informationen in SAP Business One (B1i)

 

SBO-CRO-SEC

Mittel

4,3

3371873

Neu

Update 1 zu Sicherheitshinweis 3324732: [CVE-2023-31405] Sicherheitslücke durch Log-Injection in SAP NetWeaver AS for Java (Log Viewer)

 

BC-JAS-SEC

Mittel

5,3

3324732

Aktualisierung

[CVE-2023-31405] Sicherheitslücke durch Log-Injection in SAP NetWeaver AS for Java (Log Viewer)

 

BC-JAS-SEC

Mittel

5,3

2622660

Aktualisierung

Sicherheitsupdates für das control Chromium“, das mit dem SAP Business Client ausgeliefert wird

 

BC-FES-BUS-DSK

Aktuelles

10,0

3357154

Neu

[CVE-2023-40310] Sicherheitslücke durch fehlende XML-Validierung im SAP PowerDesigner Client (BPMN2-Import)

 

BC-SYB-PD

Mittel

6,5

3219846

Neu

[CVE-2023-42473] Fehlende Berechtigungsprüfung in S/4HANA (Verwaltung von Quellensteuerposten)

 

FI-AP-AP-Q1

Mittel

5,4

Onapsis Research Labs aktualisiert die Platform Onapsis Research Labs mit den neuesten threat intelligence Sicherheitsempfehlungen, sodass Kunden den sich ständig weiterentwickelnden Bedrohungen immer einen Schritt voraus sind und ihre Unternehmen schützen können.

Weitere Informationen zu den neuesten SAP-Sicherheitsproblemen und unseren kontinuierlichen Bemühungen, Wissen mit der Sicherheits-Community zu teilen, finden Sie unter The Defenders Digest– unsere monatliche Videozusammenfassung der ERP-Sicherheitsnachrichten.

Stichworte,
Über den Autor

Thomas Fritsch

Als führender SAP-Sicherheitsforscher bei Onapsis gilt Thomas Fritsch als anerkannte Autorität in den Bereichen vulnerability management und neue Bedrohungen. Aufgrund seiner langjährigen Erfahrung als SAP-Experte konzentriert er sich auf hochtechnische Bereiche wie die Konfiguration von SAP-Systemen und das Transportmanagement. Thomas’ Analysen der neuesten SAP-Sicherheitspatches und -Schwachstellen sind ein zentraler Bestandteil der Forschungsarbeit, die Unternehmen die fundierten und umsetzbaren Erkenntnisse liefert, die sie zum Schutz ihrer Systeme benötigen. Seine Rolle als angesehener Redner und Autor festigt seinen Ruf als maßgebliche Stimme im Bereich der SAP-Cybersicherheit und trägt dazu bei, die Lücke zwischen komplexer Forschung und praktischen Sicherheitsmaßnahmen in der realen Welt zu schließen.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen