SAP Basis & Security SAP Patch Day Juni

Die als „Hot News“ veröffentlichten Lücken betreffen dieses Mal folgende Produkte:

Produkt: SAP Commerce, Versions - 1808, 1811, 1905, 2005, 2011

• Update zum Sicherheitshinweis, der am Patch Day April 2021 veröffentlicht wurde: Remote Code Execution-Schwachstelle in Source Rules von SAP Commerce
• Aktualisierung vom 8. Juni 2021 - der Hinweis 3040210 wurde mit einem aktualisierten Link zum FAQ-Dokument erneut freigegeben. Es wurden keine Änderungen vorgenommen, die eine Kundenaktion erfordern. Das Einspielen der Commerce Cloud Patches, wie es bereits im April empfohlen wurde, behebt diese Sicherheitslücke.

Produkt: SAP NetWeaver AS ABAP and ABAP Platform, Versions - 700,701,702,731,740,750,751,752,753,754,755,804

• Unzulässige Authentifizierung am SAP NetWeaver ABAP Server und an der ABAP-Plattform. Der SAP-NetWeaver-ABAP-Server und die ABAP-Plattform legen keine Informationen über interne und externe RFC-Benutzer in einem abgegrenzten und konsistenten Format an. Dies kann von Angreifern ausgenutzt werden, um unrechtmäßigen Zugriff auf das System zu erhalten. Es ist keine Behelfslösung verfügbar. Das Risiko eines Angriffs kann reduziert werden, indem der Zugriff aus externen Netzwerkquellen für die RFC- und HTTP-Kommunikation in der Netzwerkschutzlösung entsprechend eingeschränkt wird.
• Die Behebung der Schwachstelle erfolgt mit dem Einbau des Hinweises 3007182 und einem entsprechenden Kernel-Patch, wie im Hinweis 3007182 beschrieben.

Weitere Sicherheitslücken mit der Einstufung High betreffen außerdem folgende Produkte:

Produkt: SAP NetWeaver AS for JAVA, Versions - 7.20, 7.30, 7.31, 7.40, 7.50

• Fehlende XML-Validierung in SAP NetWeaver AS für JAVA. Ein böswilliger Benutzer kann eine Verbindung über ein Netzwerk herstellen und eine speziell gestaltete XML-Datei übermitteln, die für einen Angriff auf das betreffende Java NetWeaver-System verwendet werden kann. Der Angreifer kann jede beliebige Datei im Dateisystem lesen oder das System zum Abstürzen bringen. Der Angriff kann nicht dazu verwendet werden Daten zu verändern, sodass die Integrität nicht gefährdet ist.
• Die Behebung der Schwachstelle erfolgt mit dem Einbau des Hinweises 3053066 oder dem entsprechenden Support Package.

Produkt: SAP NetWeaver AS for ABAP (RFC Gateway), Versions - KRNL32NUC - 7.22,7.22EXT, KRNL64NUC - 7.22,7.22EXT,7.49, KRNL64UC - 8.04,7.22,7.22EXT,7.49,7.53,7.73, KERNEL - 7.22,8.04,7.49,7.53,7.73,7.77,7.81,7.82,7.83

• Memory Corruption-Schwachstelle im SAP NetWeaver ABAP Server und in der ABAP Platform. Ein nicht authentifizierter Angreifer, ohne spezielle Kenntnisse des Systems, kann ein speziell entwickeltes Packet über ein Netzwerk senden. Das Packet löst einen internen Fehler im System aus, welcher zu einem Absturz des Systems und dessen Nichtverfügbarkeit führt. Bei diesem Angriff können keine Daten im System angezeigt oder geändert werden.
• Durch das Einspielen eines Hinweises wird das SAP Gateway gegen Speicherschäden geschützt, welche durch Anforderungsfehler verursacht werden. Spielen Sie den im SAP-Hinweis 3020209 angegebenen Patch-Level vom SAP Gateway ein.

Produkt: SAP NetWeaver ABAP Server and ABAP Platform (Enqueue Server), Versions - KRNL32NUC - 7.22,7.22EXT, KRNL64NUC - 7.22,7.22EXT,7.49, KRNL64UC - 8.04,7.22,7.22EXT,7.49,7.53,7.73, KERNEL - 7.22,8.04,7.49,7.53,7.73

• Memory Corruption-Schwachstelle im SAP NetWeaver ABAP Server und in der ABAP Platform. Ein nicht authentifizierter Angreifer, ohne spezielle Kenntnisse des Systems, kann ein speziell entwickeltes Packet über ein Netzwerk senden. Das Packet löst einen internen Fehler im System aus, welcher zu einem Absturz des Systems und dessen Nichtverfügbarkeit führt. Bei diesem Angriff können keine Daten im System angezeigt oder geändert werden.
• Durch das Einspielen eines Patches schützen Sie sich vor den hier beschriebenen Angriffen, welche zu Speicherschäden führen, indem der Patch einen Programmfehler korrigiert. Spielen Sie den im SAP-Hinweis 3020104 angegebenen Patch ein.

Produkt: SAP NetWeaver ABAP Server and ABAP Platform (Dispatcher), Versions - KRNL32NUC - 7.22,7.22EXT, KRNL32UC - 7.22,7.22EXT, KRNL64NUC - 7.22,7.22EXT,7.49, KRNL64UC - 8.04,7.22,7.22EXT,7.49,7.53,7.73, KERNEL - 7.22,8.04,7.49,7.53,7.73,7.77,7.81,7.82,7.83

• Memory Corruption-Schwachstelle im SAP NetWeaver ABAP Server und in der ABAP Platform. Ein nicht authentifizierter Angreifer, ohne spezielle Kenntnisse des Systems, kann ein speziell entwickeltes Packet über ein Netzwerk senden. Das Packet löst einen internen Fehler im System aus, welcher zu einem Absturz des Systems und dessen Nichtverfügbarkeit führt. Bei diesem Angriff können keine Daten im System angezeigt oder geändert werden.
• Durch die im Hinweis 3021197 bereitgestellte Korrektur wird disp+work gegen Speicherschäden geschützt, die durch Request-Forgery-Angriffe verursacht werden. Spielen Sie den im SAP-Hinweis 3021197 angegebenen Patch ein.

Nähere Informationen zu allen veröffentlichten Sicherheitslücken vom SAP Patch Day Juni finden Sie hier.

• Wenn Sie Unterstützung bei der Bewertung der Sicherheitslücken in Bezug auf Ihre Systeme benötigen, wenden Sie sich gern direkt an Herrn René Studtmann unter Rene.Studtmann@cpro-ips.com.

Stand: 13. Juni 2021