Kontakt & Service
Jetzt Beratung vereinbaren

In wenigen Schritten einen Beratungs­termin mit unseren Experten buchen.

Anwender Helpdesk

Hilfestellung bei Problemen in Ihren SAP-Systemen.

Schulungen

Unser Schulungsangebot. Jetzt informieren!

Webinare

Unser Webinarangebot. Jetzt informieren!

SAP Security Patch Day Juni

SAP Basis & Security SAP Patch Day April 2022

Die als „Hot News“ veröffentlichten Lücken betreffen dieses Mal folgende Produkte:

Produkt: Verschiedene SAP Java Produkte (Laufende Aktualisierung von der SAP) SAP HANA XS Advanced Services 1.0.145 oder niedriger und SAP HANA Extended Application Services, Version -1

Spring Framework für Java:

  • Aktuell gibt es eine Sicherheitslücke im Spring Framework für Java. Mit dieser können Angreifer beliebigen Code mittels von Bots auf dem Server ausführen lassen ähnlich wie bei Log4j. Die SAP hat einen Sammelhinweis 3170990 herausgegeben.
  • Wer unter anderem SAP HANA XS Advanced Services 1.0.145 oder niedriger einsetzt, sollte eine Aktualisierung vornehmen.
  • Sollten Sie Probleme mit der Einschätzung der Sicherheitslücke haben, beraten wir Sie gerne mit den neuesten Informationen, die von der SAP bereitgestellt werden.

Weitere Schwachstellen die durch das Spring Framework auftreten finden Sie in dem folgenden Produkt:

Produkt: Sap Customer Checkout

SAP_CUSTOMER_CHECKOUT       2.0     2.0 Komponente: IS-SE-CCO

SAP_CUSTOMER_CHECKOUT_SVR 2.0     2.0

  • Der SAP Customer Checkout nutzt ebenso eine Version des Spring Frameworks und ist daher auch von der Remote Code Ausführungsschwachstelle betroffen.
  • Die SAP empfiehlt ein Update, ein Workaround ist nicht beschrieben. Mehr dazu finden Sie unter dem Hinweis: 3187290

 Eine weitere Schwachstelle betrifft SAP MII (SAP Manufacturing Integration and Intelligence)

Produkt: SAP MII (SAP Manufacturing Integration and Intelligence)

Software komponente: XMII 15.1 – 15.5

  • Angreifer können bösartigen Code in den JSP einbinden mit welchem Sie auf dem Server Dashboards manipulieren können. Beinhaltet der bösartige Code OS commands kann der Angreifer willkürlich Dateien auf dem Server löschen. Angreifer die als Entwickler authentifiziert sind, können sogar das gesamte System stilllegen.
  • Die Sap empfiehlt den Hinweis 3158613 einzuspielen.
  • Des Weiteren hat die SAP ein Viren Scan Interface in alle Up- und Download Aktivitäten von SAP MII implementiert.

Eine weitere Schwachstelle besteht beim Browser-Control Google Chromium in SAP Business Client. Der Hinweis wird laufend aktualisiert: 2622660

Produkt: SAP Business Client

  • Angreifer können die Schwachstellen im Drittanbieter-Webbrowser-Control Chromium ausnutzen und so an Systeminformationen beschaffen mit welchen weitere Systemangriffe durchgeführt werden könnten.
  • Patchen Sie den SAP Business Clienten auf das neueste stabile Major-Release des Browser-Controls Chromium welches die SAP-internen Qualitätsprüfungen von SAP Business Client bestanden hat.

Eine weitere Schwachstelle von Request Schmuggling besteht bei der Nutzung von SAP NetWeaver, SAP Content Server und SAP Web Dispatcher. Der Hinweis wird laufend aktualisiert. 3123396

Produkt: SAP NetWeaver Application Server ABAP, SAP NetWeaver Application Server Java, ABAP Platform, SAP Content Server 7.53 und SAP Web Dispatcher

Software Komponente: Web Dispatcher BC-CST-WDP

  • Die oben gelisteten Produkte sind anfällig für Requst-Schmuggling
  • Angreifer können die Anfrage eines Opfers mit beliebigen Daten vorbereiten und auf diese Weise Funktionen ausführen, dies könnte zur Gefährdung der Vertraulichkeit, Integrität und Verfügbarkeit des Systems führen.
  • Spielen Sie die von der SAP beigefügten Korrekturen in ihr System (erfordert einen Kernel Patch sowie Support Package Patch) um diese Sicherheitslücke zu beheben.
  • Sollten Sie Probleme mit der Einschätzung der Sicherheitslücke haben, beraten wir Sie gerne mit den neuesten Informationen, die von der SAP bereitgestellt werden

Weitere Sicherheitslücken mit der Einstufung High betreffen außerdem folgendes Produkt: SAP Web Dispatcher

HTTP Request Smuggling in SAP Web Dispatcher

Version -7.22, 7.49, 7.53, 7.77, 7.81, 7.83

  • Angreifer können eine böswillige Anfrage über ein Netzwerk an einen Frontend-Server senden, die über mehrere Versuche hinweg dazu führen kann, dass der Backend-Server eine schädliche Payload ausführt, die verwendet werden kann, um Informationen auf dem Server zu lesen oder zu ändern.
  • Aktualisieren Sie Ihren SAP Web Dispatcher, oder nutzen Sie den Workaround.
  • Sollten Sie Probleme mit der Einschätzung der Sicherheitslücke haben, beraten wir Sie gerne mit den neuesten Informationen, die von der SAP bereitgestellt werden

Nähere Informationen zu allen veröffentlichten Sicherheitslücken vom SAP Patch Day April finden Sie hier. (https://launchpad.support.sap.com/#/securitynotes)

Wenn Sie Unterstützung bei der Bewertung der Sicherheitslücken in Bezug auf Ihre Systeme benötigen, wenden Sie sich gern direkt an Herrn René Studtmann unter Rene.Studtmann@cpro-ips.com.

Stand: 20. April 2022

 

Newsletter Setzen Sie auf fundiertes Wissen aus allen Bereichen unserer Branche. Regelmäßig und stets aktuell.
Beratende Person
Kontakt Haben Sie Fragen oder wünschen weitere Informationen? Unsere Experten beraten Sie gerne.