Kontakt & Service
Jetzt Beratung vereinbaren

In wenigen Schritten einen Beratungs­termin mit unseren Experten buchen.

Anwender Helpdesk

Hilfestellung bei Problemen in Ihren SAP-Systemen.

Schulungen

Unser Schulungsangebot. Jetzt informieren!

Webinare

Unser Webinarangebot. Jetzt informieren!

SAP Security Patch Day Juni

SAP Basis & Security SAP Patch Day März 2022

Die als „Hot News“ veröffentlichten Lücken betreffen dieses Mal folgende Produkte:

Produkt: Verschiedene SAP Java Produkte (Laufende Aktualisierung von der SAP)

Log4Shell: RCE 0-day exploit / Log4j

  • Aktuell gibt es eine Sicherheitslücke in der weitverbreiteten Java-Logging-Bibliothek Log4Shell. Mit dieser können Angreifer beliebigen Code auf dem Server ausführen lassen. Die SAP veröffentlicht entsprechend laufend Hinweise zu betroffenen Produkten. Ein Zentralen-Hinweis gibt es unter 3131047.
  • Sollten Sie Probleme mit der Einschätzung der Sicherheitslücke haben, beraten wir Sie gerne mit den neuesten Informationen, die von der SAP bereitgestellt werden.

Produkt: SAP Web Dispatcher, Versions -7.49, 7.53, 7.77, 7.81, 7.85, 7.22EXT, 7.86, 7.87

Produkt: SAP-Content Server, Version -7.53

Produkt: SAP NetWeaver and ABAP Platform, Versions -KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT, 7.49

Request-Smuggling und Request-Verkettung in SAP NetWeaver, SAP-Content Server und SAP Web Dispatcher.

  • Dieser SAP-Hinweis wurde mit aktualisiertem Text erneut freigegeben. Die Schwachstelle besteht, wenn HTTP(S)-Clients über ein HTTP-Gateway auf den SAP-Anwendungsserver oder SAP Web Dispatcher zugreifen. Beispiele für solche HTTP-Gateways sind SAP Web Dispatcher, ein Lastverteiler eines Drittanbieters oder Reverse Proxy. Die Schwachstelle besteht auch, wenn Requests an das Backend erneut verschlüsselt werden. Der direkte Zugriff auf SAP-Anwendungsserver ist hierfür nicht anfällig. Versionen von SAP-Kernel und SAP Web Dispatcher, deren Wartung ausläuft und die daher nicht von SAP-Hinweis 3123396 abgedeckt werden, sind von der Schwachstelle betroffen.
  • Im Hinweis 3123396 finden Sie eine Behelfslösung, sowie eine Empfehlung für einen Kernel-Patch.

Produkt: SAP Work Manager, Versions 6.4, 6.5, 6.6

Produkt: SAP Inventory Manager, Versions 4.3, 4.4

Schwachstelle bei der Remote-Code-Ausführung im Zusammenhang mit der in SAP Work Manager verwendeten Komponente Apache Log4j 2

  • SAP Work Manager verwendet eine Version der Open-Source-Komponente Apache Log4j, die die Sicherheitslücken CVE-2021-44228, CVE-2021-45046, CVE-2021-45105, CVE-2021-44832 aufweist. Ein Angreifer könnte dadurch das Verhalten der Anwendung kontrollieren und alle Daten kompromittieren.
  • Wie im Hinweis 3154684 beschreiben ist ein Upgrade auf SAP Work Manager 6.6.1 und/oder SAP Inventory Manager 4.4.1 empfehlenswert, diese Patches beinhalten die neuen Bibliotheksversionen.

Produkt: Simple Diagnostics Agent

Fehlende Authentifizierungsprüfung in SAP Focused Run

  • Der Simple Diagnostics Agent 1.0 (bis Version 1.57.*) führt keine Authentifizierungsprüfungen für Funktionalitäten durch. Aufgrund der fehlenden Authentifizierungsprüfungen kann ein Angreifer auf administrative oder andere privilegierte Funktionen zugreifen und sensible Informationen und Konfigurationen lesen, ändern oder löschen.
  • Die Behebung der Schwachstelle erfolgt mit aktualisieren von dem Simple Diagnostics Agent auf Version 1.58.0 oder höher und der Aktualisierung des SAP-Host Agent auf 7.22 PL55 oder höher, wie im Hinweises 3145987 beschrieben.

Weitere Sicherheitslücken mit der Einstufung High betreffen außerdem folgendes Produkt:

Produkt: SAP Commerce, Versions - 1905, 2005, 2105, 2011

SQL-Injektion-Schwachstelle in SAP Commerce

  • Das SAP Fiori Launchpad ermöglicht einem nicht authentifizierten Angreifer die Manipulation des Sap-Theme-URL-Parameters und die Einschleusung von HTML-Code, sobald der Benutzer dazu verleitet wird, über das Netzwerk auf einen speziell gestalteten Link des Angreifers zu klicken. Bei erfolgreicher Ausnutzung kann der Angreifer Benutzerrechte ausnutzen, um Daten zu erbeuten und einen CSRF-Angriff durchzuführen.
  • Die Behebung der Schwachstelle erfolgt mit dem Einspielen des Support Packages & Patches wie in Hinweis 3149805 beschrieben.

 Nähere Informationen zu allen veröffentlichten Sicherheitslücken vom SAP Patch Day März finden Sie hier. (https://launchpad.support.sap.com/#/securitynotes)

Wenn Sie Unterstützung bei der Bewertung der Sicherheitslücken in Bezug auf Ihre Systeme benötigen, wenden Sie sich gern direkt an Herrn René Studtmann unter Rene.Studtmann@cpro-ips.com.

Stand: 11. März 2022
Newsletter Setzen Sie auf fundiertes Wissen aus allen Bereichen unserer Branche. Regelmäßig und stets aktuell.
Beratende Person
Kontakt Haben Sie Fragen oder wünschen weitere Informationen? Unsere Experten beraten Sie gerne.