Inhaltsverzeichnis
Die als „Hot News“ veröffentlichen Lücken betreffen dieses Mal folgende Produkte:
Produkt: SAP Business Client, Version - 6.5
- Um Schwachstellen beim benutzen des SAP-Business Clienten zu vermeiden muss, dieser auf dem aktuellsten Stand gepatched sein. Andernfalls, können durch die Anzeige von Webseiten über die Open-Source-Browser-Control unterschiedlichen Schwachstellen wie Speicherschäden, Offenlegung von Informationen und Systemangriffe erfolgen. Das Einspielen der aktuellen Business Client Patches behebt diese Sicherheitslücken, da diese das aktuellste stabile Major-Release des Chromium-Browsers enthalten, welche nach Sap Standard geprüft wurden.
Produkt: SAP NetWeaver AS ABAP (2011_1_620, 2011_1_640, 2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731, 2011_1_752, 2020) & SAP S4 HANA (101, 102, 103, 104, 105)
- Durch eine Schwachstelle im SAP Landscape Transformation Tool, hat ein Angreifer die Möglichkeit zum Ausführen eines RFC-Funktionsbausteins, sodass der Angreifer sensible interne Informationen aus dem System auslesen kann und es zu Systemausfällen kommen kann. Für den betroffenen RFC-Funktionsbaustein wird nun eine ordnungsgemäße Prüfung der Zugriffseinschränkungen erzwungen. Mit einspielen der Korrekturanleitung wird das Problem behoben.
Produkt: SAP Business Warehouse (SAP_BW 700.710,730,731,740,750,782,701)
- Über die BW-Datenbankschnittstelle kann ein Angreifer mit niedrigen Berechtigungen, alle erstellten Datenbankabfragen ausführen und die Backend-Datenbank zu exponieren. Er kann seine eigenen SQL-Befehle einbinden, die von der Datenbank ausgeführt werden, ohne dass die nicht vertrauenswürdigen Daten ordnungsgemäß bereinigt werden. Wodurch das betroffene SAP-System gefährdet werden kann. Mit Implementierung der Korrektur aus Hinweis 2986980 oder einspielen des entsprechenden Support Packages wird das Problem behoben.
Produkt: SAP NetWeaver Application Server ABAP (Anwendungen auf Basis von Web Dynpro ABAP)
- Anwendungen, die auf SAP Web Dynpro ABAP basieren, ermöglichen es einem Angreifer, Benutzer aufgrund von Reverse-Tabnabbing-Schwachstellen auf eine schädliche Website umzuleiten, wodurch es zu Phishing-Angriffen und der Umleitung von Benutzern an nicht vertrauenswürdige Webseiten mit Malware oder ähnlichen schädlichen Exploits. Das Einspielen dieses SAP-Hinweises behebt das Problem.
Produkt: SAPUI5 (SAP_UI 750,752,753,754,755,200)
- Auf SAPUI5 basierende Anwendungen ermöglichen es einem nicht authentifizierten Angreifer, Benutzer aufgrund von Reverse-Tabnabbing-Schwachstellen auf eine schädliche Website umzuleiten. Wodurch ein Pishing-Angriff, oder die Weiterleitung auf Seiten mit schädlichen Exploits oder Malware erfolgen kann. Durch die Verwendung einer korrigierten SAPUI5-Version wird eine automatische Entfernung des Opening-Brownings-Kontextes auf alle UI5-APIs angewendet. Wodurch die Sicherheitslücke behoben wird.
Des Weiteren gab es noch eine Sicherheitslücke mit der Priorität sehr hoch, die das Produkt SAP NetWeaver Master Data Management 7.1 betrifft.
Nähere Informationen zu allen veröffentlichten Sicherheitslücken vom SAP Patch Day Februar finden Sie hier.
Wenn Sie Unterstützung bei der Bewertung der Sicherheitslücken in Bezug auf Ihre Systeme benötigen, wenden Sie sich gern direkt an Herrn René Studtmann unter Rene.Studtmann@cpro-ips.com.
