Kontakt & Service
Jetzt Beratung vereinbaren

In wenigen Schritten einen Beratungs­termin mit unseren Experten buchen.

Anwender Helpdesk

Hilfestellung bei Problemen in Ihren SAP-Systemen.

Schulungen

Unser Schulungsangebot. Jetzt informieren!

Webinare

Unser Webinarangebot. Jetzt informieren!

SAP Security Patch Day Oktober

SAP Basis & Security SAP Patch Day Juli 2022

Die als „Hot News“ veröffentlichten Lücken betreffen dieses Mal folgende Produkte:

Produkt: SAP Enterprise Release 420 und 430

Eine Schwachstelle ist eine Sicherheitslücke in der SAP Business Objects Central Management Konsole

  • Durch die Sicherheitslücke in SAP BusinessObjects CMC kann ein Angreifer Token Informationen über das Netzwerk aufrufen welche sonst verschlüsselt wären.
  • Ein autorisierter User kann durch diese Sicherheitslücke Opfer eines sniffing oder social Engineering Angriffs werden wodurch die ganze Anwendung durch Angreifer gefährdet ist.
  • Die SAP empfiehlt den Token zu verschlüsseln und die Versionen 4.2 SP09 Patch 9, 4.3 SP01 zu nutzen, bei welchen das Problem behoben wurde.

Eine weitere Schwachstelle ist die Offenlegung von Informationen in SAP Business One

Produkt: SAP Business One

Komponente: B1_ON_HANA 10.0 SAP-M-BO 10.0

  • Durch ein spezielles Integrationsscenario in SAP Business One und SAP HANA kann ein Angreifer das Datenvolumen von SAP Hana Cockpit ausnutzen um Zugriff auf hochsensible Daten zu bekommen
  • Die SAP empfiehlt ein Upgrade auf SAP Business One 10.0 FP2202 durchzuführen bei welchem durch die SAP ein Schutz zu dieser Sicherheitslücke integriert wurde.
  • Mehr dazu finden Sie unter dem Hinweis 3212997

 Durch eine fehlende Berechtigungsprüfung in SAP Business One (Lizenzservice –API):

Product – SAP Business One 10.0 für Hana – SAP Business One 10.0

Komponente: B1_ON_HANA 10.0, SAP-M-BO 10.0

  • Aufgrund einer fehlenden Berechtigungsprüfung in SAP Business One kann ein nicht authentifizierter Angreifer, schädliche HTTP-Requests über das Netzwerk senden.
  • Dies kann dazu führen, dass ein Angreifer die gesamte Anwendung stilllegen kann, sodass sie nicht mehr zugänglich ist.
  • Die SAP fügt der wtite API Authentifizierungschecks hinzu
  • Um die Schwachstelle zu schließen empfiehlt die SAP ein Upgrade auf SAP Business One 10.0 FP2202. Mehr dazu finden Sie unter den folgenden Hinweisen: 3157613

Eine weitere Schwachstelle die in SAP Business One besteht, ist die Einfügung von Fremdcode über den SAP Business One Clienten

Product – SAP Business One 10.0 für Hana – SAP Business One 10.0

Komponente: B1_ON_HANA 10.0, SAP-M-BO 10.0

  • Mit dem SAP-Business-One-Client kann ein nicht autorisierter Angreifer mit Code einschleusen, der von der Anwendung ausgeführt werden kann. Ein Angreifer könnte damit das Verhalten der Anwendung steuern.
  • Die Sap erweitert den Mechanismus zum Hochladen von Anlagen, sodass bestimmter Dateien bestimmter Dateitypen nicht mehr hochgeladen werden können und gefährliche Dateien an andere Benutzer verteilt oder im System ausgeführt werden.
  • Mehr dazu finden Sie unter dem Hinweis 3191012

 Nähere Informationen zu allen veröffentlichten Sicherheitslücken vom SAP Patch Day Juli finden Sie hier.

Wenn Sie Unterstützung bei der Bewertung der Sicherheitslücken in Bezug auf Ihre Systeme benötigen, wenden Sie sich gern direkt an Herrn René Studtmann unter Rene.Studtmann@cpro-ips.com.

 

Newsletter Setzen Sie auf fundiertes Wissen aus allen Bereichen unserer Branche. Regelmäßig und stets aktuell.
Beratende Person
Kontakt Haben Sie Fragen oder wünschen weitere Informationen? Unsere Experten beraten Sie gerne.