Dienstverweigerung in ckass CL_APC_WS_EXT_PERFORMANCE_TEST
Auswirkungen auf das Geschäft
Durch Ausnutzen dieser Sicherheitslücke kann ein Angreifer, der als ein Benutzer ohne Administratorrechte hat die Möglichkeit, die die von legitimen Nutzern wahrgenommene Servicequalität. Diese Angriffe führen zu große Antwortverzögerungen, übermäßige Verluste und Dienstunterbrechungen, was dazu führt, dass sich unmittelbar auf die Verfügbarkeit auswirkt.Details zur Sicherheitslücke
Ein Angreifer, der im SAP-System als Nicht-Administrator-Benutzer authentifiziert ist, kann eine Situation auslösen, die Ressourcen erschöpft und zu einem Denial-of-Service führt Bedingung, sofern der ICF-Service „sap/bc/icf/performance_tst“ aktiviert ist. Auslösen mehrere dieser Anfragen mit bestimmten Parametern, sogar unter Abwechslung der channel_id würde Arbeitsprozesse blockieren und damit anderen Anwendern den Zugriff verwehren.Lösung
SAP hat den SAP-Hinweis 3296378 veröffentlicht, der gepatchte Versionen der betroffene Komponenten. Die Patches können heruntergeladen werden unter https://me.sap.com/notes/3296378 Onapsis empfiehlt SAP-Kunden dringend, die entsprechenden Sicherheitskorrekturen zu erstellen und diese auf die betroffenen Komponenten anzuwenden, um Geschäftsrisiken minimieren.Zeitachse des Berichts
- 25.01.2023: Onapsis meldet SAP eine Sicherheitslücke
- 11.04.2023: SAP veröffentlicht den Patch
Literaturverzeichnis
- Onapsis-Blogbeitrag: https://onapsis.com/blog/sap-patch-day-april-2023/
- CVE Mitre: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-28763
- Hersteller-Patch: https://me.sap.com/notes/3296378
Hinweise
- Veröffentlichungsdatum: 02.09.2025
- Sicherheitshinweis-ID: ONAPSIS-2024-0052
- Forscher: Juan Pablo Perez Etchegoyen
Informationen zur Sicherheitslücke
- Anbieter: SAP
- Betroffene Komponenten:
- SAP NetWeaver AS ABAP und ABAP Platform
- SAP BASIS (Ausführliche Informationen zu den betroffenen Releases finden Sie im SAP-Hinweis 3296378)
- Sicherheitslücke: CWE-400: Unkontrollierter Ressourcenverbrauch
- CVSS v3-Bewertung: 6,5 (AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)
- Risikostufe: Mittel
- Zugewiesene CVE-Nummer: CVE-2023-28763
- Informationen zum Hersteller-Patch: SAP-Sicherheitshinweis 3296378
Betroffene Komponenten – Beschreibung
- SAP_BASIS 740 SP 09-29
- SAP_BASIS 750 SP 26
- SAP_BASIS 751 SP 16
- SAP_BASIS 752 SP 12
- SAP_BASIS 753 SP 10
- SAP_BASIS 754 SP 07
- SAP_BASIS 755 SP 05
- SAP_BASIS 756 SP 03
- SAP_BASIS 757 SP 01
Über unsere Forschungslabore
Onapsis Research Labs bietet Branchenanalysen zu zentralen Sicherheitsfragen, die sich auf geschäftskritische Systeme und Anwendungen auswirken. Onapsis Research Labs veröffentlichen regelmäßig aktuelle Sicherheits- und Compliance-Hinweise mit entsprechenden Risikoeinstufungen und Onapsis Research Labs fundiertes Fachwissen und langjährige Erfahrung, um der breiteren Informationssicherheits-Community technische und geschäftliche Einblicke sowie fundierte Sicherheitsbeurteilungen zu liefern.Alle gemeldeten Sicherheitslücken finden Sie unter: https://github.com/Onapsis/vulnerability_advisories
Dieser Hinweis unterliegt einer Creative Commons 4.0 BY-ND International-Lizenz