Inhaltsverzeichnis
Die als „Hot News“ veröffentlichten Lücken betreffen dieses Mal folgende Produkte:
Produkt: SAP Business Client, Versions -6.5, 7.0, 7.70
Es existieren seit April mehrere Schwachstellen im Drittanbieter-Web-Browser-Control Chromium, welcher in SAP Business Client verwendet werden kann.
- die Anzeige von Webseiten im SAP Business Client über diese Open-Source-Browser-Control kann zu verschiedenen Schwachstellen wie Speicherbeschädigung, Offenlegung von Informationen und schlimmsten Fall zum Systemausfall führen.
- Ein autorisierter User kann durch diese Sicherheitslücke Opfer eines sniffing oder social Engineering Angriffs werden wodurch die ganze Anwendung durch Angreifer gefährdet ist.
- Die SAP empfiehlt den aktuellsten SAP-Business-Client-Patch einzuspielen, welcher das aktuell stabile Hauptrelease des Chromium-Browser-Controls verwendet. Dieses hat die SAP-internen Qualitätsmessungen von SAP Business Client bestanden und gilt als sicher.
Eine weitere Schwachstelle die als Hot News gilt ist die Offenlegung von Informationen in SAP Business One
Produkt: SAP BusinessObjects Business Intelligence Platform (Open Document),Versions - 420, 430
Komponente: SAP ENTERPRISE Versions - 420, 430
- Durch eine Schwachstelle in der Komponente SAP BusinessObjects Open Document kann ein Angreifer sensible Informationen über das Netzwerk aus dem System auslesen welche nur für Business User sichtbar sein sollten.
- Dies kann dazu führen das der Angreifer auf die für den Benutzer sichtbaren Daten zugreifen kann und so Anwendungen durch einen automatisierten Angriff belasten kann.
- Die SAP empfiehlt die empfohlenen Support Packages einzuspielen.
- Mehr dazu finden Sie unter dem Hinweis 3210823
Eine weitere Schwachstelle besteht durch eine fehlende Berechtigungsprüfung in SAP Business One (Lizenzservice –API):
Produkt: SAP NetWeaver, Versions -740, 750
Komponente: B1_ON_HANA 10.0, SAP-M-BO 10.0
- Die Korrekturanleitung für das Release 7.40 wurde erneut freigegeben, um zukünftige Korrekturen zu ermöglichen.
- Um die Schwachstelle zu schließen empfiehlt die SAP den in diesem SAP-Hinweis 2245130 genannten Kernel-Patch-Level und ABAP Support Package einzuspielen.
Eine weitere Schwachstelle betrifft die SAP BusinessObjects, Business Intelligence Platform (MonitoringDB)
Produkt: SAP Business Objects Platform (MonitoringDB), Version -430
Komponente: SAP ENTERPRISE 430
- Ein Angreifer kann sich als CMS (Central Manage Server) -Administrator authentifizieren und auf die BOE-Monitoring-Datenbank zugreifen. Dadurch kann diese vertraulichen Systemdaten einsehen was Auswirkungen auf die Integrität des Systems und die Daten hat.
- Die Sap empfiehlt die aktuellen Support Packages einzuspielen.
- Mehr dazu finden Sie unter dem Hinweis 3213507
Eine weitere Schwachstelle betrifft die SAP BusinessObjects, Business Intelligence Platform (MonitoringDB)
Produkt: SAP Business Objects Platform (CommentaryDB), Version -430
Komponente: SAP ENTERPRISE -420, 430
- Ein Angreifer kann sich als CMS (Central Manage Server) -Administrator authentifizieren und auf die BOE-Kommentar-Datenbank zugreifen. Dadurch kann diese vertraulichen Systemdaten einsehen was Auswirkungen auf die Integrität des Systems und die Daten hat.
- Die Sap empfiehlt die aktuellen Support Packages einzuspielen.
- Mehr dazu finden Sie unter dem Hinweis 3213524
Nähere Informationen zu allen veröffentlichten Sicherheitslücken vom SAP Patch Day August finden Sie hier.
Wenn Sie Unterstützung bei der Bewertung der Sicherheitslücken in Bezug auf Ihre Systeme benötigen, wenden Sie sich gern direkt an Herrn René Studtmann unter Rene.Studtmann@cpro-ips.com.
