SAP NetWeaver Java – Einfügen in den Protokoll-Viewer
Auswirkungen auf die Wirtschaft
Ein nicht authentifizierter Angreifer kann das Anmeldeformular nutzen, um zusätzliche Datensätze im SAP Log Viewer anzulegen, was zu unverständlichen Vorgängen führen, die Protokollanalyse erschweren und den Betrieb einiger automatisierter Protokollanalyse-Tools beeinträchtigen könnte.Details zur Sicherheitslücke
In der Anwendung „Log Viewer“ von SAP NetWeaver Java ist es möglich, „NewLine“-Zeichen einzuschleusen. Angreifer können im Anmeldeformular einen bestimmten Benutzernamen erstellen, um zusätzliche Zeilen im selben Protokolleintrag zu fälschen.Lösung
SAP hat den SAP-Hinweis 3324732 veröffentlicht, der gepatchte Versionen der betroffenen Komponenten enthält. Die Patches können heruntergeladen werden unter https://me.sap.com/notes/3324732. Onapsis empfiehlt SAP-Kunden dringend, die entsprechenden Sicherheitspatches herunterzuladen und auf die betroffenen Komponenten anzuwenden, um Geschäftsrisiken zu minimieren.Zeitachse des Berichts
- 01.02.2023: Onapsis übermittelt Daten an SAP
- 02.01.2023: SAP bestätigt den Bericht
- 11.07.2023: SAP veröffentlicht einen SAP-Hinweis zur Behebung des Problems
Literaturverzeichnis
- Onapsis-Blogbeitrag: https://onapsis.com/blog/sap-security-patch-day-july-2023/
- CVE Mitre: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-31405
- Hersteller-Patch: https://me.sap.com/notes/3324732
Hinweise
- Veröffentlichungsdatum: 18.08.25
- Sicherheitshinweis-ID: ONAPSIS-2024-0019
- Forscher: Yvan Genuer
Informationen zur Sicherheitslücke
- Anbieter: SAP
- Betroffene Komponenten: SAP NetWeaver Java
- ENGINEAPI 7.50
- J2EE-Engine ServerCore 7.50
- J2EE-ENGINE-ANWENDUNGEN 7.50 (Ausführliche Informationen zu den betroffenen Releases finden Sie im SAP-Hinweis 3324732)
- Sicherheitslückenklasse:
- CVSS v3-Bewertung: 5,3 AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
- Risikostufe: Mittel
- Zugewiesene CVE-Nummer: CVE-2023-31405
- Informationen zum Hersteller-Patch: SAP Security NOTE 3324732