SAP-Sicherheitspatch-Tag: September 2022
Patches mit hoher Priorität für SAP Business One, SAP BusinessObjects und SAP GRC veröffentlicht
Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom September gehören:
- Zusammenfassung für September – 16 neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter eine HotNews-Mitteilung und sechs Mitteilungen mit hoher Priorität
- Drei neue Hinweise mit hoher Priorität veröffentlicht – Betroffen sind SAP Business One, SAP BusinessObjects und SAP GRC
- Gute Nachrichten für SAP SuccessFactors – Die deaktivierte Anhangsfunktion in der mobilen Anwendung wurde für drei der vier betroffenen Module wiederhergestellt
SAP hat an seinem Patch Day im September 16 neue und aktualisierte Sicherheitshinweise veröffentlicht (einschließlich der Hinweise, die seit dem letzten Patch Tuesday veröffentlicht oder aktualisiert wurden). Darunter befinden sich ein HotNews-Hinweis und sechs Hinweise mit hoher Priorität.
Kunden des SAP Business Client haben stets gute Chancen, auf einen HotNews-Hinweis zu stoßen. Ende August, noch vor dem Patch Day im September, veröffentlichte SAP ein neues Update des regelmäßig erscheinenden SAP-Sicherheitshinweises Nr. 2622660. Es behebt 55 Chromium-Sicherheitslücken, darunter eine mit kritischer und 28 mit hoher Priorität. Der maximale CVSS-Score aller behobenen Schwachstellen beträgt 8,8. Drei der sechs Notes mit hoher Priorität werden zum ersten Mal veröffentlicht und betreffen verschiedene SAP-Anwendungen, sodass diesmal keine einzelne Anwendung besonders hervorgehoben werden kann.
Die Notizen mit hoher Priorität im Detail
SAP Business One
Gemessen am CVSS-Wert ist der SAP-Sicherheitshinweis Nr . 3223392 der kritischste der drei neuen Hinweise mit hoher Priorität. Er behebt eine Sicherheitslücke im Zusammenhang mit einem nicht in Anführungszeichen gesetzten Service-Pfad in SAP Business One, die mit einem CVSS-Wert von 7,8 bewertet wurde.
Eine Sicherheitslücke im Zusammenhang mit einem nicht in Anführungszeichen gesetzten Dienstpfad kann ausgenutzt werden, um beim Start des anfälligen Dienstes eine beliebige Binärdatei auszuführen, wodurch eine Rechteausweitung auf das SYSTEM-Privileg möglich wäre.
Beispiel:
Angenommen, der korrekte Pfad für eine ausführbare Dienstdatei lautet:
C:ProgrammeERP SecurityBinärdateienAusführbare Dateienservice-program.exe
Wird der Ausführungspfad ohne Anführungszeichen angegeben, interpretiert das System diesen Pfad in der folgenden Reihenfolge:
- C:Program.exe
- C:ProgrammeERP.exe
- C:ProgrammeERP Securitybinary.exe
- C:ProgrammeERP SecurityBinärdateienexecutable.exe
- C:ProgrammeERP SecurityBinärdateienAusführbare Dateienservice-program.exe
Das bedeutet: Verfügt ein Angreifer über Schreibzugriff auf eines der betroffenen Unterverzeichnisse, kann er eine schädliche Datei (Program.exe, ERP.exe, binary.exe oder executable.exe) erstellen, die anstelle der eigentlich vorgesehenen ausführbaren Datei service-program.exe ausgeführt wird – und zwar im Kontext der weitreichenden Berechtigungen eines Dienstbenutzers.
Das Problem wurde mit SAP Business One FP2202HF1 behoben.
SAP BusinessObjects
Der zweite neue Sicherheitshinweis mit hoher Priorität, der SAP-Sicherheitshinweis Nr. 3217303, weist einen CVSS-Wert von 7,7 auf und behebt eine Sicherheitslücke in SAP BusinessObjects, die zur Offenlegung von Informationen führen kann. Unter bestimmten Umständen ermöglicht diese Sicherheitslücke einem Angreifer den Zugriff auf unverschlüsselte sensible Daten in der Central Management Console der SAP BusinessObjects Business Intelligence Platform.
Der aktualisierte Hinweis mit hoher Priorität Nr . 2998510, der mit einem CVSS-Wert von 7,8 versehen ist, behebt eine Sicherheitslücke in SAP BusinessObjects, die zur Offenlegung von Informationen führen kann. Das Update enthält eine Erweiterung des Abschnitts „Lösung“ des Hinweises, in der die betroffenen Betriebssysteme und weitere Voraussetzungen näher erläutert werden.
SAP GRC
SAP Security Note #3237075, tagged with a CVSS score of 7.1 is the third new High Priority Note and affects SAP GRC customers. The described vulnerability allows an authenticated attacker to access a Firefighter session even after it is closed in Firefighter Logon Pad. The note describes some additional requirements regarding the authorizations of the configured RFC user. It also points out that the provided correction instructions have no effect for SAP systems on SAP NetWeaver < 7.02. In this case, SAP suggests to upgrade the SAP Basis level before.
SAP SuccessFactors
Ein Blick auf die aktualisierten „High Priority Notes“ bringt gute Nachrichten für SAP SuccessFactors . Der SAP-Sicherheitshinweis Nr . 3226411, der mit einem CVSS-Wert von 8,1 versehen ist, wurde ursprünglich Ende Juli 2022 veröffentlicht. Der entsprechende Patch unterband das Herunterladen, Hochladen oder Anzeigen von Anhängen in den anfälligen Modulen der SAP-SF-Mobile-Anwendung: „Time Off“, „Time Sheet“, „EC Workflow“ und „Benefit“. Das heute veröffentlichte neue Update ermöglicht die Wiederaufnahme der Anhangsfunktionalität für die ersten drei der vier betroffenen Module.
SAP Knowledge Warehouse
Die beiden übrigen aktualisierten Hinweise mit hoher Priorität enthalten lediglich geringfügige textliche oder strukturelle Änderungen. Der SAP-Sicherheitshinweis Nr. 3102769, der mit einem CVSS-Score von 8,8 gekennzeichnet ist, enthält einen Patch für eine kritische Cross-Site-Scripting-Sicherheitslücke im SAP Knowledge Warehouse. Er bietet zudem eine Abhilfe, die die Deaktivierung der anfälligen Anzeigekomponente beschreibt. Da es zwei Möglichkeiten gibt, diese zu deaktivieren, wurde die Beschreibung der Abhilfe in einen eigenen SAP-Hinweis ( Nr. 3221696) verschoben.
Zusammenfassung und Schlussfolgerung
Mit 16 neuen und aktualisierten Sicherheitshinweisen, darunter der bekannte SAP Business Client HotNews-Hinweis und drei neue Hinweise mit hoher Priorität, ist dies ein weiterer ruhiger Patch-Tag für SAP-Kunden. Ab heute fügen wir eine vollständige Liste aller veröffentlichten SAP-Sicherheitshinweise bei, um einen umfassenden Überblick über die betroffenen SAP-Anwendungen zu bieten.
|
SAP-Hinweis |
Typ |
Beschreibung |
Priorität |
CVSS |
|
3223392 |
Neu |
[CVE-2022-35292] Problem mit nicht in Anführungszeichen gesetztem Windows-Dienstpfad in SAP Business One SBO-CRO-SEC |
Hoch |
7,8 |
|
3219164 |
Neu |
[CVE-2022-35298] Cross-Site-Scripting-Sicherheitslücke (XSS) im SAP NetWeaver Enterprise Portal (KMC) EP-KM-FWK-CF |
Mittel |
6,1 |
|
3217303 |
Neu |
[CVE-2022-39014] Sicherheitslücke durch Offenlegung von Informationen in Platform SAP BusinessObjects Business Intelligence Platform CMC) BI-BIP-SRV |
Hoch |
7,7 |
|
3159736 |
Neu |
[CVE-2022-35295] Sicherheitslücke mit Rechtenausweitung in SAPOSCOL unter Unix BC-CCM-MON-OS |
Mittel |
6,7 |
|
3198137 |
Neu |
Update 1 zu Sicherheitshinweis 3165333 – [CVE-2022-28215] Sicherheitslücke durch URL-Umleitung in SAP NetWeaver ABAP Server und ABAP Platform BC-MID-ICF |
Mittel |
4,7 |
|
3126968 |
Neu |
Sicherheitslücke durch Offenlegung von Informationen im SAP CRM WebClient CA-WUI-UI-TAG |
Mittel |
4,3 |
|
2998510 |
Aktualisierung |
[CVE-2022-28214] Offenlegung von Informationen auf dem zentralen Verwaltungsserver im Business Intelligence-Update BI-BIP-INS |
Hoch |
7,8 |
|
3237075 |
Neu |
[CVE-2022-39801] Unzureichende Ablaufzeit für Firefighter-Sitzungen in SAP GRC Access Control GRC-SAC-EAM |
Hoch |
7,1 |
|
3229820 |
Neu |
[CVE-2022-39799] Cross-Site-Scripting-Sicherheitslücke (XSS) in SAP NetWeaver AS ABAP (SAP GUI for HTML im Fiori Launchpad) BC-FES-WGU |
Mittel |
6,1 |
|
3226411 |
Aktualisierung |
[CVE-2022-35291] Sicherheitslücke mit Rechtenausweitung in derSAP SuccessFactors für mobile Anwendungen (Android und iOS) LOD-SF-EC |
Hoch |
8,1 |
|
2634023 |
Neu |
Fehlende Berechtigungsprüfung bei der Nutzung von CDS-Ansichten (oder) OData-Diensten in QM-QN QM-QN |
Mittel |
6,3 |
|
3218177 |
Neu |
[CVE-2022-35294] Cross-Site-Scripting-Sicherheitslücke (XSS) im SAP NetWeaver Application Server ABAP BC-FES-WGU |
Mittel |
5,4 |
|
3165333 |
Aktualisierung |
[CVE-2022-28215] Sicherheitslücke durch URL-Umleitung in SAP NetWeaver ABAP Server und ABAP Platform BC-MID-ICF |
Mittel |
4,7 |
|
3150454 |
Aktualisierung |
Sicherheitslücke durch Offenlegung von Informationen in SAP NetWeaver Application Server ABAP und ABAP Platform BC-MID-RFC |
Mittel |
4,9 |
|
2622660 |
(Neu) |
Sicherheitsupdates für das control Chromium“, das mit dem SAP Business Client ausgeliefert wird BC-FES-BUS-DS |
Aktuelles |
(10,0) |
|
3102769 |
Aktualisierung |
[CVE-2021-42063] Cross-Site-Scripting-Sicherheitslücke (XSS) im SAP Knowledge Warehouse KM-KW-HTA |
Hoch |
8,8 |
Onapsis Research Labs aktualisiert die Platform Onapsis Research Labs mit den neuesten threat intelligence Sicherheitsempfehlungen, damit unsere Kunden den sich ständig weiterentwickelnden Bedrohungen immer einen Schritt voraus sind und ihre Unternehmen schützen können.
Wenn Sie mehr über die neuesten SAP-Sicherheitsprobleme und unsere kontinuierlichen Bemühungen erfahren möchten, Wissen mit der Sicherheits-Community zu teilen, abonnieren Sie unseren monatlichen „Defender’s Digest“-Newsletter.