Kontakt & Service
Jetzt Beratung vereinbaren

In wenigen Schritten einen Beratungs­termin mit unseren Experten buchen.

Anwender Helpdesk

Hilfestellung bei Problemen in Ihren SAP-Systemen.

Schulungen

Unser Schulungsangebot. Jetzt informieren!

Webinare

Unser Webinarangebot. Jetzt informieren!

SAP Security Patch Day Oktober

SAP Basis & Security SAP Patch Day März

Die als „Hot News“ veröffentlichten Lücken betreffen dieses Mal folgende Produkte:

Produkt: SAP Solution Manager (User Experience Monitoring), Version - 7.2 

  • Fehlende Berechtigungsprüfung in SAP Solution Manager: Diese Sicherheitslücke wurde mit aktualisierten Informationen erneut freigegeben. Das SAP Solution Manager User-Experience Monitoring führt keine Authentifizierung für einen Dienst durch, was zu einer vollständigen Kompromittierung aller mit dem Solution Manager verbundenen SMD-Agents führt. Kunden, die den SAP Solution Manager 7.2 Support Package Stack 4 bis 11 verwenden, müssen eine Korrektur einspielen. Mit Implementierung der Korrektur aus Hinweis 2890213 oder einspielen des entsprechenden Support Packages wird das Problem behoben.

Produkt: SAP Business Client, Version - 6.5 

  • Sicherheitsupdates für die mit dem SAP Business Client ausgelieferte Browsersteuerung Google Chromium: Update zum Sicherheitshinweis, der am April 2018 veröffentlicht wurde: Dieser Sicherheitshinweis behandelt mehrere Schwachstellen im Drittanbieter-Web-Browser-Control Chromium, dass in SAP Business Client verwendet werden kann. Dieser SAP-Hinweis wird regelmäßig auf der Grundlage von Web-Browser-Aktualisierungen durch das Open-Source-Projekt Chromium geändert. Mit Einspielen des entsprechenden Patches wie in Hinweis 2622660 beschrieben wird das Problem behoben.

Produkt: SAP Manufacturing Integration and Intelligence, Versions - 15.1, 15.2, 15.3, 15.4  

  • Code-Injektion-Schwachstelle in SAP MII: Mit SAP MII können Benutzer Dashboards anlegen und diese über die SSCE (Self Service Composition Environment) als JSP sichern. Ein Angreifer kann eine Anfrage an den Server abfangen, schädlichen JSP-Code in die Anfrage einschleusen und an den Server weiterleiten. Der schädliche JSP-Code kann bestimmte Betriebssystembefehle enthalten, über die ein Angreifer sensible Dateien auf dem Server lesen, Dateien ändern oder sogar Inhalte auf dem Server löschen kann, wodurch die Vertraulichkeit, Integrität und Verfügbarkeit des Servers gefährdet wird. Mit Implementierung der Korrektur aus Hinweis 3022622 oder einspielen des entsprechenden Support Packages wird das Problem behoben.

Produkt: SAP NetWeaver AS JAVA (MigrationService), Versions - 7.10, 7.11, 7.30, 7.31, 7.40, 7.50 

  • Fehlende Berechtigungsprüfung im SAP NetWeaver AS JAVA (MigrationService): Der Migration Service, der Bestandteil von SAP NetWeaver ist, führt keine Berechtigungsprüfung durch. Dies kann einem nicht autorisierten Angreifer den Zugriff auf Konfigurationsobjekte ermöglichen, einschließlich solcher, die Administratorenrechte erteilen. Mit Implementierung der Korrektur aus Hinweis 3022422 wird das Problem behoben.

Weitere Sicherheitslücken mit der Einstufung High betreffen außerdem folgendes Produkt:

Produkt: SAP HANA, Version - 2.0  

  • Mögliche Umgehung der Authentifizierung in SAP HANA LDAP-Szenarien: Die LDAP-Authentifizierung in SAP HANA kann umgangen werden, wenn der angehängte LDAP-Verzeichnisserver so konfiguriert ist, dass eine nicht authentifizierte Bindung aktiviert wird. SAP HANA unterstützt verschiedene Authentifizierungsmethoden, einschließlich externer Authentifizierung über einen LDAP-Verzeichnisdienst. LDAP-basierte Authentifizierung ist standardmäßig nicht aktiv. Ein SAP-HANA-Administrationsbenutzer muss zuerst eine Vertrauensbeziehung zu einem LDAP-Authentifizierungsservice konfigurieren und dann die LDAP-Authentifizierung für jeden SAP-HANA-Benutzer aktivieren. Einige Verzeichnisserver können so konfiguriert werden, dass sie eine nicht authentifizierte Bindung über LDAP anbieten. In diesen Fällen kann die Verarbeitung der LDAP-Authentifizierung durch die SAP-HANA-Datenbank missbraucht werden. Mit Einspielen des entsprechenden Patches wie in Hinweis 3017378 beschrieben wird das Problem behoben.

Nähere Informationen zu allen veröffentlichten Sicherheitslücken vom SAP Patch Day März finden Sie hier.

Wenn Sie Unterstützung bei der Bewertung der Sicherheitslücken in Bezug auf Ihre Systeme benötigen, wenden Sie sich gern direkt an Herrn René Studtmann unter Rene.Studtmann@cpro-ips.com.

Downloads

Downloads

Newsletter Setzen Sie auf fundiertes Wissen aus allen Bereichen unserer Branche. Regelmäßig und stets aktuell.
Beratende Person
Kontakt Haben Sie Fragen oder wünschen weitere Informationen? Unsere Experten beraten Sie gerne.