Kontakt & Service
Jetzt Beratung vereinbaren

In wenigen Schritten einen Beratungs­termin mit unseren Experten buchen.

Anwender Helpdesk

Hilfestellung bei Problemen in Ihren SAP-Systemen.

Schulungen

Unser Schulungsangebot. Jetzt informieren!

Webinare

Unser Webinarangebot. Jetzt informieren!

SAP Security Patch Day Juni

SAP Basis & Security SAP Patch Day Juni 2022

Die als „Hot News“ veröffentlichten Sicherheitslücken betreffen dieses Mal folgende Produkte

Produkt: SAP Business Client Browser-Control Chromium

Eine Schwachstelle besteht beim Browser-Control Google Chromium im SAP Business Client. Der Hinweis wird laufend aktualisiert: 2622660 

  • Angreifer können die Schwachstellen im Drittanbieter-Webbrowser-Control Chromium ausnutzen und so Systeminformationen beschaffen mit welchen weitere Systemangriffe durchgeführt werden können.
  • Patchen Sie den SAP Business Client auf das neueste stabile Major-Release des Browser-Controls Chromium welches die SAP-internen Qualitätsprüfungen von SAP Business Client bestanden hat (Note 2622660).

Eine weitere Sicherheitslücke mit der Einstufung „High“ betrifft außerdem folgende Produkte: SAP NetWeaver und ABAP-Plattform

Abhängig von der Konfiguration der Route-Permission-Tabelle ist es möglich, dass ein nicht authentifizierter Angreifer SAProuter-Administrationsbefehle in SAP NetWeaver und der ABAP-Plattform von einem Remote-Client aus ausführt.

Betroffen sind nur SAProuter-Konfigurationen, die Platzhalter für den Zielhost verwenden.

  • Prüfen Sie, ob saproutertab Einträge vom Typ „P“ oder „S“ existieren, welche eine Platzhalter (*) für den Zielhost, und/oder einen Platzhalter für den Zielport enthalten.
  • Die Korrektur ist in SAProuter enthalten und wird mit den Versionen 7.53 und 7.22 ausgeliefert (Empfehlung der SAP ist die Nutzung der Version 7.53). Außerdem ist in den Kernel Versionen 7.85, 7.81 sowie 7.77 und kommenden Releases die Korrektur mit enthalten.
  • Als Workaround können alle Platzhalter für den Zielhost in saprouttab-Einträgen vom Typ „P“ und „S“ durch bestimmte Hostnamen oder IP-Adressen ersetzt werden.

Weitere Informationen zu der Sicheren Konfiguration des SAProuters können Hinweis 1895350 entnommen werden.

Weitere Schwachstellen mit der Klassifikation „Medium“ bestehen in den Produkten SAP NetWeaver und der SAP ABAP Plattform:

Fehlende Berechtigungsprüfung im SAP NetWeaver Applikations Server für ABAP und der ABAP-Plattform.

  • Für authentifizierte Benutzer werden nicht die erforderlichen Berechtigungsprüfung über das Netzwerk aufgeführt, was zu einer Rechteausweitung führt, die zu tiefgreifender Auswirkungen auf die Vertraulichkeit führt.
  • Durch Einspielen des in Hinweis 3165801 genannten Support Package oder der entsprechenden Korrekturanleitung wird die Sicherheitslücke geschlossen (Aus Technischen Gründen kann die Korrekturanleitung nur mit Kernel >=7.22PL10 eingespielt werden).

Cross-Site-Scripting-Schwachstelle in SAP NetWeaver Entwicklungsinfrastruktur (Design Time Repository).

  • Durch unzureichende Eingabevalidierung ermöglicht das Design Time Repository der SAP-NetWeaver-Entwicklungsinfrastruktur einem nicht authentifizierten Angreifer, ein Skript in die URL einzuschleusen und Code im Browser des Benutzers auszuführen, und damit Informationen anzeigen oder ändern.
  • Die Schwachstelle wird mit einspielen der in Hinweis 3197927 angefügten Patches behoben.

Nähere Informationen zu allen veröffentlichten Sicherheitslücken des SAP Patch Day Juni finden Sie hier.

Wenn Sie Unterstützung bei der Bewertung der Sicherheitslücken in Bezug auf Ihre Systeme benötigen, wenden Sie sich gern direkt an Herrn René Studtmann unter Rene.Studtmann@cpro-ips.com.

Stand: 29. Juni 2022
Newsletter Setzen Sie auf fundiertes Wissen aus allen Bereichen unserer Branche. Regelmäßig und stets aktuell.
Beratende Person
Kontakt Haben Sie Fragen oder wünschen weitere Informationen? Unsere Experten beraten Sie gerne.