SAP Basis & Security SAP Patch Day Januar 2022

Die als „Hot News“ veröffentlichten Lücken betreffen dieses Mal folgende Produkte:

1. SAP Customer Checkout
2. SAP BTP Cloud Foundry
3. SAP Landscape Management
4. SAP Connected Health Platform 2.0 - Fhirserver
5. SAP HANA XS Advanced Cockpit :
6. SAP NetWeaver Process Integration (Java Web Service Adapter)
7. SAP HANA XS Advanced
8. Internet of Things Edge Platform
9. SAP BTP Kyma
10. SAP Enable Now Manager
11. SAP Cloud for Customer (add-in for Lotus notes client)
12. SAP Localization Hub, digital compliance service for India
13. SAP Edge Services On Premise Edition
14. SAP Edge Services Cloud Edition
15. SAP BTP API Management (Tenant Cloning Tool)
16. SAP NetWeaver ABAP Server and ABAP Platform (Adobe LiveCycle Designer 11.0)
17. SAP Digital Manufacturing Cloud for Edge Computing
18. SAP Enterprise Continuous Testing by Tricentis
19. SAP Cloud-to-Cloud Interoperability
20. Reference Template for enabling ingestion and persistence of time series data in Azure
21. SAP Business One

 Zentraler Sicherheitshinweis zur Schwachstelle bei der Remote-Code-Ausführung im Kontext der Komponente Apache Log4j

• Aktuell gibt es eine Sicherheitslücke in der weitverbreiteten Java-Logging-Bibliothek Log4Shell. Mit dieser können Angreifer beliebigen Code auf dem Server ausführen lassen und das System übernehmen. Die SAP veröffentlicht entsprechend laufend Hinweise zu betroffenen Produkten. Ein Zentraler-Hinweis wurde veröffentlicht.
• Im SAP-Hinweis 3131047 finden Sie verschiedene betroffene Produkte. Sollten Sie Probleme mit der Einschätzung der Sicherheitslücke haben, beraten wir Sie gerne mit den neuesten Informationen, die von der SAP bereitgestellt werden.

Weitere Sicherheitslücken mit der Einstufung High betreffen außerdem folgendes Produkt:

Produkt: SAP S/4HANA, Versionen - 100, 101, 102, 103, 104, 105, 106

Mehrere Sicherheitslücken in der Anwendung F0743 Create Single Payment von SAP S/4HANA

• Dieser SAP-Sicherheitshinweis behandelt die verschiedenen Schwachstellen in SAP S/4HANA. Die Anwendung F0743 Create Single Payment von SAP S/4HANA prüft hoch- oder heruntergeladene Dateien nicht. Dieser SAP-Sicherheitshinweis implementiert die Viren-Scanner-Schnittstelle (VSI), die eine Datei beim Hoch- und Herunterladen prüft.
• Die Behebung der Schwachstelle erfolgt mit der Umsetzung der Anleitung wie in Hinweis 3114134 beschrieben.

Produkt: SAP NetWeaver AS ABAP, Versions - 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755, 756

Code-Injection-Schwachstelle in Utility-Klasse für SAP NetWeaver AS ABAP

• Diese Schwachstelle aus dem Dezember hat eine Aktualisierung im Bereich von betroffenen Releases bekommen.
• Zwei Methoden einer Utility-Klasse im SAP NetWeaver AS ABAP ermöglichen es einem Angreifer mit hohen Rechten und direktem Zugriff auf das SAP-System, bei der Ausführung einer Transaktion (SE24 - Class Builder) Code einzuschleusen.
• Dies könnte die Ausführung beliebiger Befehle auf dem Betriebssystem ermöglichen, was die Vertraulichkeit, Integrität und Verfügbarkeit des Systems stark beeinträchtigen könnte.
• Implementieren Sie den Hinweis 3123196 oder passen Sie die Berechtigungsobjekte an, wie in Hinweis 3123196 beschrieben.

 Nähere Informationen zu allen veröffentlichten Sicherheitslücken vom SAP Patch Day Januar finden Sie hier.

Wenn Sie Unterstützung bei der Bewertung der Sicherheitslücken in Bezug auf Ihre Systeme benötigen, wenden Sie sich gerne direkt an Herrn René Studtmann unter Rene.Studtmann@cpro-ips.com.

Stand: 12. Januar 2022