Inhaltsverzeichnis
Die als „Hot News“ veröffentlichten Lücken betreffen dieses Mal folgende Produkte:
Produkt: SAP Business Client, Version - 6.5
Sicherheitsupdates für die mit dem SAP Business Client ausgelieferte Browsersteuerung Google Chromium
- Dieser Sicherheitshinweis betrifft mehrere Schwachstellen im Drittanbieter-Webbrowser-Control Chromium, der im SAP Business Client verwendet werden kann. Dieser Hinweis wird regelmäßig überarbeitet, entsprechend den Updates zu Webbrowsern des Open-Source-Projekts Chromium.
- Das Einspielen der aktuellen Business Client Patches, wie in dem Hinweis 2622660 beschrieben, behebt diese Sicherheitslücken. Die Patches enthalten das aktuelle stabile Major-Release des Chromium-Browsers, der nach dem SAP Standard geprüft wurde.
Produkt: SAP NetWeaver AS ABAP and ABAP Platform, Versions - 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 804
Unzulässige Authentifizierung am SAP NetWeaver ABAP Server und an der ABAP-Plattform
- UPDATE 13. Juli 2021: Dieser SAP-Hinweis wurde erneut mit aktualisierten Informationen zu Support Packages freigegeben. Der SP-Stack-Kernel 753 PL801 wurde zum Abschnitt der Support Packages hinzugefügt.
- Der SAP-NetWeaver-ABAP-Server und die ABAP-Plattform legen keine Informationen über interne und externe RFC-Benutzer in einem abgegrenzten und konsistenten Format an. Dies kann von Angreifern ausgenutzt werden, um unrechtmäßigen Zugriff auf das System zu erhalten. Es ist keine Behelfslösung verfügbar. Das Risiko eines Angriffs kann reduziert werden, indem der Zugriff aus externen Netzwerkquellen für die RFC- und HTTP-Kommunikation in der Netzwerkschutzlösung entsprechend eingeschränkt wird.
- Die Behebung der Schwachstelle erfolgt mit dem Einbau des Hinweises 3007182 und einem entsprechenden Kernel-Patch, wie im Hinweis 3007182 beschrieben.
Weitere Sicherheitslücken mit der Einstufung „High" betreffen außerdem folgende Produkte:
Produkt: SAP NetWeaver Guided Procedures (Administration Workset), Versions - 7.10, 7.20, 7.30, 7.31, 7.40, 7.50
Fehlende Berechtigungsprüfung in SAP NetWeaver Guided Procedures
- SAP NetWeaver Guided Procedures (Administration Workset) führen nicht die notwendigen Berechtigungsprüfungen für einen authentifizierten Benutzer durch, was zu einer Eskalation der Privilegien führt. Fehlende Autorisierung kann zum Missbrauch von Funktionen führen, die auf eine bestimmte Benutzergruppe beschränkt sind. Nicht autorisierten Benutzern kann das Lesen, Ändern oder Löschen von eingeschränkten Daten ermöglicht werden.
- Die Behebung der Schwachstelle erfolgt mit dem Einspielen vom entsprechenden Support Package, wie in Hinweis 3059446 beschrieben.
Produkt: SAP NetWeaver AS for Java (Http Service), Versions - 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50
Denial-of-Service (DoS) in SAP NetWeaver AS for Java (HTTP-Service)
- SAP NetWeaver AS Java Http Service ermöglicht es einem Angreifer Benutzer am Zugriff auf einen Dienst zu hindern, entweder durch Absturz oder Überflutung des Dienstes.
- Der HTTP-Service von SAP NetWeaver AS Java speichert Monitoring-Daten für jeden HTTP-Request, ohne die HTTP-Methode ordnungsgemäß zu validieren. Infolgedessen kann der Angreifer die HTTP-Methode manipulieren, die Systemressourcen erschöpfen und direkte Auswirkungen auf die Verfügbarkeit haben.
- Die Behebung der Schwachstelle erfolgt mit dem Einspielen des entsprechenden Support Package, wie in Hinweis 3056652 beschrieben.
Nähere Informationen zu allen veröffentlichten Sicherheitslücken vom SAP Patch Day Juli finden Sie hier.
- Wenn Sie Unterstützung bei der Bewertung der Sicherheitslücken in Bezug auf Ihre Systeme benötigen, wenden Sie sich gern direkt an Herrn René Studtmann unter Rene.Studtmann@cpro-ips.com.
