Kontakt & Service
Jetzt Beratung vereinbaren

In wenigen Schritten einen Beratungs­termin mit unseren Experten buchen.

Anwender Helpdesk

Hilfestellung bei Problemen in Ihren SAP-Systemen.

Schulungen

Unser Schulungsangebot. Jetzt informieren!

Webinare

Unser Webinarangebot. Jetzt informieren!

SAP Security Patch Day Juni

SAP Basis & Security SAP Patch Day Dezember 2022

Die als „Hot News“ veröffentlichten Lücken betreffen dieses Mal folgendes Produkt:

Produkt: SAP BusinessObjects Business Intelligence Platform, Versions -420, 430

Komponente: ENTERPRISE 420-430

Durch eine Schwachstelle in der SAP-BusinessObjects-Plattform kann ein Angreifer eine beliebige Datei auf dem BusinessObjects-Server auf Betriebssystemebene hochladen.

  • Ein Angreifer kann durch schädliche Dateien die Kontrolle über das gesamte System übernehmen, was sich auf die Verfügbarkeit und Integrität des Systems auswirkt.
  • Die SAP empfiehlt die aktuellen Support Packages und Patches einzuspielen.
  • Mehr dazu finden Sie unter dem Hinweis 3239475

Eine weitere Hot News Schwachstelle betrifft das SAPUI5 Framework

Produkt: SAP NetWeaver Process Integration, Version –7.50

Komponente: MESSAGING SYSTEM SERVICE 7.50 SP020 – SP027

  • Durch eine falsche Zugriffskontrolle kann ein Angreifer sich über das Netzwerk an eine offene Schnittstelle anhängen, die über JNDI von der User Defined Search (UDS) von SAP NetWeaver Process Integration (PI) bereitgestellt wird, und ein offenes Benennungs- und Verzeichnis-API verwenden, um auf Services zuzugreifen, mit denen unberechtigte Vorgänge ausgeführt werden können, die sich auf Benutzer und Daten im gesamten System auswirken.
  • Der Angreifer kann dadurch vollen Lesezugriff auf Benutzerdaten erhalten sowie beschränkte Änderungen an Benutzerdaten vornehmen welche die Performance und Integrität des Systems negativ beeinträchtigen.
  • Durch eine in der Korrektur enthaltenen Berechtigungsprüfung in allen öffentlichen Methoden sowie einer zusätzlichen Prüfung aller Klauseln konnte die Schwachstelle behoben werden.
  • Mehr dazu finden Sie unter dem Hinweis 3273480

Eine weitere Hot News Schwachstelle betrifft SAP Commerce

Produkt: SAP Commerce, Versions-1905, 2005, 2105, 2011, 2205

Komponente: HY_COM 1905, 2005, 2105, 2011, 2205

  • Durch eine Remote Code Ausführungsschwachstelle in Verbindung mit Apache- Commons Text in SAP Commerce besteht eine Sicherheitslücke.
  • Apache Commons Text führt eine Variableninterpolation durch. Anwendungen, die die Interpolationsstandardwerte in den betroffenen Versionen verwenden, sind möglicherweise anfällig für die Remote-Ausführung von Code oder unbeabsichtigten Kontakt mit Fremdservern wenn nicht vertrauenswürdige Konfigurationswerte verwendet werden.
  • Dadurch kann die Vertraulichkeit und die Verfügbarkeit des Systems durch einen Angriff Gefährdet werden.
  • Die SAP Empfiehlt ein Upgrade des Systems durchzuführen
  • Mehr dazu finden Sie unter dem Hinweis: 3271523

Eine weitere Hot News Schwachstelle betrifft SAP NetWeaver Process Integration

Produkt: SAP NetWeaver Process Integration,Version–7.50

Komponente: MESSAGING SYSTEM SERVICE 7.50 SP020 – SP27

  • Durch eine falsche Zugriffskontrolle in SAP NetWeaver Process Integration (Messaging-System) kann ein Angreifer sich an eine offene Schnittstelle anhängen welche über JNDI vom Messaging System von SAP NetWeaver Process Integration (PI) bereitgestellt wird.
  • Ein Angreifer kann ein offenes Namens- und Verzeichnis-API verwenden, um auf Services zuzugreifen, mit denen er unberechtigte Operationen ausführen kann.
  • Die Schwachstelle wirkt sich auf lokale Benutzer und Daten aus, was erhebliche Auswirkungen auf die Vertraulichkeit sowie die Verfügbarkeit und auch begrenzte Auswirkungen auf die Integrität der Anwendung hat.
  • Die SAP Empfiehlt die aktuellen Support Packages einzuspielen.
  • Mehr dazu finden Sie unter dem Hinweis: 3267780

Eine weitere Schwachstelle ist die Code-Injection-Schwachstelle in SAP BASIS

Produkt: SAPBASIS, Versions –731, 740, 750, 751, 752, 753, 754, 755, 756, 757, 789, 790, 791

  • Aufgrund des uneingeschränkten Umfangs des RFC-Funktionsbausteins ermöglicht SAP BASIS einem authentifizierten Nicht-Administrator-Angreifer den Zugriff auf eine Systemklasse und das Ausführen einer der öffentlichen Methoden mit vom Angreifer bereitgestellten Parametern.
  • Bei erfolgreicher Ausnutzung kann der Angreifer die volle Kontrolle über das System erlangen, zu dem die Klasse gehört, was große Auswirkungen auf die Integrität der Anwendung hat.
  • Die Sap empfiehlt die aktuelle Korrekturanleitung einzuspielen.
  • Mehr dazu finden Sie unter dem Hinweis 3239293

Eine weitere Schwachstelle betrifft das Cross-Site Scripting (XSS) in SAP Commerce

Produkt: SAP Commerce Webservices 2.0 (Swagger UI), Versions-1905, 2005, 2105, 2011, 2205

Komponente: HY_COM - 1905, 2005, 2105, 2011, 2205

  • Aufgrund einer fehlenden ordnungsgemäßen Eingabevalidierung ermöglicht die Swagger-UI von SAP Commerce Webservices 2.0 schädliche Eingaben aus nicht vertrauenswürdigen Quellen, die von einem Angreifer genutzt werden können, um einen DOM-Cross-Site-Scripting-Angriff (XSS-Angriff) auszuführen.
  • Bei erfolgreicher Ausnutzung kann ein Angreifer in der Lage sein, Benutzer-Token zu stehlen und eine vollständige Kontoübernahme einschließlich des Zugriffs auf Administrationswerkzeuge in SAP Commerce zu erreichen.
  • Spielen Sie die aktuellen SAP Commerce Cloud Patche ein um die Schwachstelle zu beheben.
  • Mehr dazu finden Sie unter dem Hinweis 3248255

Es bestehen mehrere Schwachstellen in SQlite gebündelt mit SAPUI5

Produkt: SAP Commerce Webservices 2.0 (Swagger UI), Versions-1905, 2005, 2105, 2011, 2205

Komponente: UISAPUI5_STANDALONE 600, 700, 800, 900, 1000, SAP_UI - 754, 755, 756, 757

  • Das SAPUI5-Framework verwendet SQLite < 3.39.2, was manchmal einen Array-Bounds-Überlauf ermöglicht. Dies kann von einem Angreifer über das Netzwerk ausgenutzt werden, was erhebliche Auswirkungen auf die Verfügbarkeit von Anwendungen hat, welche SAPUI5 verwenden.
  • Die SAP empfiehlt die aktuellen SAPUI5-Patch-Releases einzuspielen
  • Mehr dazu finden Sie unter dem Hinweis: 3249990

Nähere Informationen zu allen veröffentlichten Sicherheitslücken vom SAP Patch Day Dezember finden Sie hier.

Wenn Sie Unterstützung bei der Bewertung der Sicherheitslücken in Bezug auf Ihre Systeme benötigen, wenden Sie sich gern direkt an Herrn René Studtmann unter Rene.Studtmann@cpro-ips.com.

 

Newsletter Setzen Sie auf fundiertes Wissen aus allen Bereichen unserer Branche. Regelmäßig und stets aktuell.
Beratende Person
Kontakt Haben Sie Fragen oder wünschen weitere Informationen? Unsere Experten beraten Sie gerne.