IS-OIL – OS-Befehlseingabe FM OIB_QCI_SERVER
Auswirkungen auf die Wirtschaft
Ein erfolgreicher Angriff könnte es einem Angreifer ermöglichen, als SAP-Systemadministrator (sidadm) blinde Betriebssystembefehle auszuführen. Dies würde zu einer vollständigen Kompromittierung des SAP-NetWeaver-Systems führen.Details zur Sicherheitslücke
In FM OIB_QCI_SERVER, das im OIB_QCI-Paket enthalten ist und von der IS-OIL-Erweiterung bereitgestellt wird, besteht eine Sicherheitslücke, die eine Befehlsinjektion im Betriebssystem ermöglicht.Lösung
SAP hat die SAP-Hinweise 3350297 und 3399691 veröffentlicht, die gepatchte Versionen der betroffenen Komponenten enthalten. Die Patches können heruntergeladen werden unter https://me.sap.com/notes/3350297 https://me.sap.com/notes/3399691 Onapsis empfiehlt SAP-Kunden dringend, die entsprechenden Sicherheitspatches herunterzuladen und auf die betroffenen Komponenten anzuwenden, um Geschäftsrisiken zu minimieren.Zeitachse des Berichts
- 06.04.2023: Onapsis übermittelt Daten an SAP
- 06.04.2023: SAP bestätigt den Bericht
- 11.07.2023: SAP veröffentlicht einen SAP-Hinweis zur Behebung des Problems
Literaturverzeichnis
- Onapsis-Blogbeitrag: https://onapsis.com/blog/sap-security-patch-day-july-2023/
- CVE Mitre: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-36922
- Hersteller-Patch: https://me.sap.com/notes/3350297 https://me.sap.com/notes/3399691
Hinweise
- Veröffentlichungsdatum: 18.08.25
- Sicherheitshinweis-ID: ONAPSIS-2024-0021
- Forscher: Yvan Genuer
Informationen zur Sicherheitslücke
- Anbieter: SAP
- Betroffene Komponenten: SAP IS-OIL
- IS-OIL 600 SP18 und darunter
- IS-OIL 602 SP18 und darunter
- IS-OIL 603 SP18 und darunter
- IS-OIL 604 SP18 und darunter
- IS-OIL 605 SP18 und darunter
- IS-OIL 606 SP18 und darunter
- IS-OIL 617 SP18 und frühere Versionen
- IS-OIL 618 SP18 und frühere Versionen
- IS-OIL 800 SP18 und darunter
- IS-OIL 802 SP18 und frühere Versionen
- IS-OIL 803 SP18 und frühere Versionen
- IS-OIL 804 SP18 und frühere Versionen
- IS-OIL 805 SP18 und frühere Versionen
- IS-OIL 806 SP18 und frühere Versionen
- IS-OIL 807 SP18 und frühere Versionen (Ausführliche Informationen zu den betroffenen Releases finden Sie im SAP-Hinweis 3350297)
- Schwachstellenklasse: CWE-78
- CVSS v3-Wert: 9,1 AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
- Risikostufe: Kritisch
- Zugewiesene CVE-Nummer: CVE-2023-36922
- Informationen zu Hersteller-Patches: SAP-Sicherheitshinweise 3350297, 3399691, 3349318
Über unsere Forschungslabore
Onapsis Research Labs bietet Branchenanalysen zu zentralen Sicherheitsfragen, die sich auf geschäftskritische Systeme und Anwendungen auswirken. Onapsis Research Labs veröffentlichen regelmäßig aktuelle Sicherheits- und Compliance-Hinweise mit entsprechenden Risikoeinstufungen und Onapsis Research Labs fundiertes Fachwissen und langjährige Erfahrung, um der breiteren Informationssicherheits-Community technische und geschäftliche Einblicke sowie fundierte Sicherheitsbeurteilungen zu liefern.Alle gemeldeten Sicherheitslücken finden Sie unter: https://github.com/Onapsis/vulnerability_advisories
Dieser Hinweis unterliegt einer Creative Commons 4.0 BY-ND International-Lizenz