Kontakt & Service
Jetzt Beratung vereinbaren

In wenigen Schritten einen Beratungs­termin mit unseren Experten buchen.

Anwender Helpdesk

Hilfestellung bei Problemen in Ihren SAP-Systemen.

Schulungen

Unser Schulungsangebot. Jetzt informieren!

Webinare

Unser Webinarangebot. Jetzt informieren!

SAP Security Patch Day Juni

SAP Basis & Security SAP Patch Day Mai

Die als „Hot News“ veröffentlichten Lücken betreffen dieses Mal folgende Produkte:

Produkt: SAP Business Client, Version - 6.5 

  • Update zum Sicherheitshinweis, der am August 2018 Patch Day veröffentlicht wurde: Sicherheitsupdates für die mit dem SAP Business Client ausgelieferte Browsersteuerung Google Chromium. Dieser Sicherheitshinweis betrifft mehrere Schwachstellen im Drittanbieter-Webbrowser-Control Chromium, welche im SAP Business Client verwendet werden kann. Dieser Hinweis wird regelmäßig überarbeitet, entsprechend den Updates zu Webbrowsern des Open-Source-Projekts Chromium.  Das Einspielen der aktuellen Business Client Patches behebt diese Sicherheitslücken. Der aktuelle Patch enthält den stabilen Major-Release des Chromium-Browsers, welcher nach SAP Standard geprüft wurde.

Produkt: SAP Business Warehouse, Versions - 700, 701, 702, 711, 730, 731, 740, 750, 782  SAP BW4HANA, Versions - 100, 200 

  • Update zum Sicherheitshinweis, der am Januar 2021 Patch Day veröffentlicht wurde: Code-Injektion in SAP Business Warehouse und SAP BW/4HANA. Dieser SAP-Hinweis wurde mit aktualisierten Informationen erneut freigegeben. Die Gültigkeit der Korrekturanleitung wurde auf BW 7.40 SP3 und SP4 erweitert. Bei einer weiteren Code-Injection-Schwachstelle in den genannten Versionen vom SAP Business Warehouse und SAP BW/4HANA wird es einem Angreifer aufgrund einer fehlenden Eingabevalidierung ermöglicht, schädlichen Code über einen remote-fähigen Funktionsbaustein in das Netzwerk einzuschleusen. Der Code kann persistent in einem Report gespeichert und anschließend ausgeführt werden. Diese Schwachstelle kann zu einem Verlust sensibler Daten, einer Modifikation kritischer Daten und sogar zu einem Ausfall des Services führen. Die Behebung der Schwachstelle erfolgt mit dem Einbau des Hinweises 2999854 oder dem entsprechenden Support Package.

Weitere Sicherheitslücken mit der Einstufung High betreffen außerdem folgendes Produkt:

Produkt: SAP NetWeaver AS ABAP, Versions - 700,701,702,730,731

  • Code-Injection-Schwachstelle in SAP NetWeaver AS ABAP. SAP NetWeaver Application Server ABAP ermöglicht es einem hoch privilegierten Angreifer, Code durch Ausführen eines ABAP-Reports einzuschleusen, wenn der Angreifer Zugriff auf das lokale SAP-System hat. Der Angreifer könnte so Zugriff auf Daten erhalten, diese überschreiben oder einen Denial of Service ausführen. Die Behebung der Schwachstelle erfolgt mit Einbau von Hinweis 3046610 oder dem entsprechenden Support Package.

Produkt: SAP Business One, version for SAP HANA (Cookbooks), Versions - 0.1.6, 0.1.7, 0.1.19

  • Mehrere Sicherheitslücken in SAP Business One, Version für SAP HANA (Business-One-Hana-Chefkochbuch). Dieser SAP-Sicherheitshinweis behandelt mehrere Sicherheitslücken, die in dem Produkt: SAP Business One für SAP HANA identifiziert wurden. Unter bestimmten Bedingungen ermöglicht das Business-One-Hana-Chef-Cookbook, welches für die Installation von SAP Business One für SAP HANA verwendet wird, einem Angreifer, einen unsicheren temporären Sicherungspfad auszunutzen und auf Informationen zuzugreifen, die ansonsten eingeschränkt wären. Des Weiteren kann es einem Angreifer erlauben, Code einzuschleusen, welcher von der Anwendung ausgeführt werden kann. Ein Angreifer könnte dadurch das Verhalten der Anwendung kontrollieren. Die Behebung der Schwachstelle erfolgt durch das Aktualisieren des Kochbuchs auf Version 0.1.20 oder höher, wie in Hinweis 3049661 beschrieben. Ebenfalls sollte das betroffene Testsystem gelöscht werden und ein neuer Aufbau über das Chefkochbuch erfolgen.

Produkt: SAP Business One (Cookbooks), Version - 0.1.9 

  • Offenlegung von Informationen im SAP Business One (Business-One-Chefkochbuch). Unter bestimmten Bedingungen ermöglicht das Chef business-one-cookbook, das zur Installation von SAP Business One verwendet wird, einem Angreifer, einen unsicheren temporären Ordner für ein- und ausgehende Gehaltsabrechnungsdaten auszunutzen und auf Informationen zuzugreifen, die andernfalls eingeschränkt wären. Die Behebung der Schwachstelle erfolgt durch das Aktualisieren des Kochbuchs auf Version 0.1.10 oder höher, wie in Hinweis 3049755 beschrieben. Ebenfalls sollte das betroffene Testsystem gelöscht werden und ein neuer Aufbau über das Chefkochbuch erfolgen.

Nähere Informationen zu allen veröffentlichten Sicherheitslücken vom SAP Patch Day Mai finden Sie hier.

Wenn Sie Unterstützung bei der Bewertung der Sicherheitslücken in Bezug auf Ihre Systeme benötigen, wenden Sie sich gern direkt an Herrn René Studtmann unter Rene.Studtmann@cpro-ips.com.

Stand: 12. Mai 2021
Newsletter Setzen Sie auf fundiertes Wissen aus allen Bereichen unserer Branche. Regelmäßig und stets aktuell.
Beratende Person
Kontakt Haben Sie Fragen oder wünschen weitere Informationen? Unsere Experten beraten Sie gerne.