SAP-Patch-Tag: September 2023
Wichtige Patches für SAP BusinessObjects und SAP CommonCryptoLib veröffentlicht
Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom September gehören:
- Zusammenfassung für September– 18 neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter fünf HotNews-Hinweise und zwei Hinweise mit hoher Priorität
- SAP BusinessObjects im Fokus– Fünf Patches veröffentlicht, darunter zwei HotNews-Hinweise und ein Hinweis mit hoher Priorität
- Onapsis Research Labs – Unser Team hat SAP dabei unterstützt, eine Sicherheitslücke mit hoher Priorität in der SAP CommonCryptoLib zu beheben
SAP hat an seinem Patch Day im September achtzehn neue und aktualisierte Sicherheitshinweise veröffentlicht (einschließlich der Hinweise, die seit dem letzten Patch Tuesday veröffentlicht oder aktualisiert wurden). Darunter befinden sich fünf HotNews-Hinweise und zwei Hinweise mit hoher Priorität.
Einer der fünf HotNews-Hinweise ist der regelmäßig erscheinende SAP-Sicherheitshinweis Nr. 2622660, der ein Update für den SAP Business Client einschließlich der neuesten unterstützten Chromium-Patches bereitstellt. Der SAP Business Client unterstützt nun Chromium-Version 116.0.5845.97, die insgesamt 67 Sicherheitslücken behebt, darunter eine mit kritischer und 31 mit hoher Priorität. Der maximale CVSS-Wert aller behobenen Sicherheitslücken beträgt 8,8.
Der HotNews-Hinweis Nr. 3245526, der mit einem CVSS-Wert von 9,9 versehen ist, ist eine Aktualisierung eines Patches, der ursprünglich im März 2023 von SAP veröffentlicht wurde. Er behebt eine schwerwiegende Code-Injection-Sicherheitslücke in SAP BusinessObjects. Der Abschnitt „Support-Pakete und Patches“ des Hinweises wurde mit den neuesten Patch-Ständen aktualisiert.
Der HotNews-Hinweis Nr. 3273480, der mit einem CVSS-Wert von 9,9 versehen ist, ist ein weiteres Update, das nur notwendig wurde, weil der Sicherheitshinweis zuvor versehentlich gelöscht worden war. Es sind keine Maßnahmen seitens der Kunden erforderlich.
Die neuen HotNews -Notizen im Detail
Der SAP-Sicherheitshinweis Nr. 3320355, der mit einem CVSS-Wert von 9,9 versehen ist, ist ein neuer HotNews-Hinweis für SAP BusinessObjects. Der Auftragsordner der Komponente „Promotion Management“ ist anfällig für eine Offenlegung von Informationen. Ein erfolgreicher Angriff liefert Informationen, die für nachfolgende Angriffe genutzt werden können und zu einer vollständigen Kompromittierung der Anwendung führen. Als Workaround empfiehlt SAP, nur dem erforderlichen Benutzer die entsprechenden Rechte zu erteilen, damit dieser über das Promotion Management auf Promotions zugreifen und diese durchführen kann. Normale Benutzer verfügen standardmäßig nicht über Anzeigerechte; den Benutzern der Administratorgruppe sollten jedoch die Anzeigerechte für den Ordner „Promotion-Jobs“ ausdrücklich verweigert werden.
Der SAP-Sicherheitshinweis Nr. 3340576, der mit einem CVSS-Wert von 9,8 bewertet wurde, ist der zweite neue HotNews-Hinweis des SAP-Patch-Days im September. Fehlende oder fehlerhafte Berechtigungsprüfungen in der SAP CommonCryptoLib können zu einer Rechteausweitung führen. Die daraus resultierenden Auswirkungen hängen von der Anwendung und dem Umfang der erlangten Rechte ab. Im schlimmsten Fall können Angreifer die betroffene Anwendung vollständig kompromittieren.
SAP-Sicherheitshinweise mit hoher Priorität
Neben den HotNews-Hinweisen für SAP BusinessObjects und SAP CommonCryptoLib hat SAP auch Hinweise mit hoher Priorität für diese beiden Anwendungen veröffentlicht.
Der SAP-Sicherheitshinweis Nr. 3370490, der mit einem CVSS-Wert von 8,7 versehen ist, behebt eine Sicherheitslücke aufgrund unzureichender Dateitypüberprüfung in der Web Intelligence-HTML-Schnittstelle der SAP BusinessObjects Business Intelligence Platform. Beim Hochladen einer lokalen Bilddatei im Rahmen der Berichterstellung könnte ein authentifizierter Angreifer die Anfrage abfangen und den Inhaltstyp sowie die Dateiendung ändern. Dies würde es ihm ermöglichen, sensible Daten zu lesen und zu verändern, was erhebliche Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung hätte.
Onapsis Research Labs SAP dabei Onapsis Research Labs , eine Sicherheitslücke mit hoher Priorität im Zusammenhang mit einer Speicherbeschädigung in SAP CommonCryptoLib zu beheben. Der entsprechende SAP-Sicherheitshinweis Nr . 3327896, der mit einem CVSS-Wert von 7,5 versehen ist, enthält Patches für alle betroffenen Anwendungen:
- Kernel-Patch für SAP NetWeaver AS ABAP, SAP NetWeaver AS Java und Platform ABAP Platform S/4HANA On-Premise
- SAPSSOEXT-Bibliothek
- SAP Web Dispatcher
- SAP-Host-Agent
- SAP Content Server
- SAP-HANA-Datenbank
- SAP Extended Application Services and Runtime (XSA)
Die gute Nachricht ist, dass alle Patches für HotNews Note #3340576 diese Sicherheitslücke automatisch beheben. Es gibt nur eine Ausnahme: Während die HotNews Note keine Auswirkungen auf SAP-HANA-Revisionen auf Basis von 2.0 SPS 05 hat, ist dies bei #3327896 der Fall. Die für den Patch #3327896 erforderliche Revision lautet 2.00.059.10.
Informationen für SAP-BusinessObjects-Kunden
SAP hat insgesamt fünf Patches für SAP BusinessObjects bereitgestellt. Die folgende Tabelle bietet einen schnellen Überblick darüber, welche Service-Patch-Stufen von welchen Sicherheitslücken betroffen sind und welche Patch-Stufen diese beheben:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Zusammenfassend lässt sich sagen, dass alle Sicherheitslücken in SAP BusinessObjects mit den folgenden Patch-Levels behoben wurden:
Zusammenfassung und Schlussfolgerung
Mit achtzehn neuen und aktualisierten SAP-Sicherheitshinweisen, darunter fünf HotNews-Hinweise und zwei Hinweise mit hoher Priorität, scheint der Patch-Tag von SAP im September besonders umfangreich zu sein. Da es sich bei zwei der HotNews-Hinweise jedoch nur um geringfügige Aktualisierungen handelt, die keine Maßnahmen seitens der Kunden erfordern, und die Umsetzung der Hinweise zu SAP BusinessObjects und SAPCryptoLib keinen großen Aufwand erfordert, ist der Patch-Aufwand überschaubar.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Onapsis Research Labs aktualisiert die Platform Onapsis Research Labs mit den neuesten threat intelligence Sicherheitsempfehlungen, damit unsere Kunden den sich ständig weiterentwickelnden Bedrohungen immer einen Schritt voraus sind und ihre Unternehmen schützen können.
Weitere Informationen zu den neuesten SAP-Sicherheitsproblemen und unseren kontinuierlichen Bemühungen, Wissen mit der Sicherheits-Community zu teilen, finden Sie unter The Defenders Digest– unsere monatliche Videozusammenfassung der ERP-Sicherheitsnachrichten.