Die als „Hot News“ veröffentlichten Lücken betreffen dieses Mal folgende Produkte:
Produkt: Verschiedene SAP Java Produkte (Laufende Aktualisierung von der SAP) SAP HANA XS Advanced Services 1.0.145 oder niedriger und SAP HANA Extended Application Services, Version -1
Spring Framework für Java:
- Aktuell gibt es eine Sicherheitslücke im Spring Framework für Java. Mit dieser können Angreifer beliebigen Code mittels von Bots auf dem Server ausführen lassen ähnlich wie bei Log4j. Die SAP hat einen Sammelhinweis 3170990 herausgegeben.
- Wer unter anderem SAP HANA XS Advanced Services 1.0.145 oder niedriger einsetzt, sollte eine Aktualisierung vornehmen.
- Sollten Sie Probleme mit der Einschätzung der Sicherheitslücke haben, beraten wir Sie gerne mit den neuesten Informationen, die von der SAP bereitgestellt werden.
Weitere Schwachstellen die durch das Spring Framework auftreten finden Sie in dem folgenden Produkt:
Produkt: Sap Customer Checkout
SAP_CUSTOMER_CHECKOUT 2.0 2.0 Komponente: IS-SE-CCO
SAP_CUSTOMER_CHECKOUT_SVR 2.0 2.0
- Der SAP Customer Checkout nutzt ebenso eine Version des Spring Frameworks und ist daher auch von der Remote Code Ausführungsschwachstelle betroffen.
- Die SAP empfiehlt ein Update, ein Workaround ist nicht beschrieben. Mehr dazu finden Sie unter dem Hinweis: 3187290
Eine weitere Schwachstelle betrifft SAP MII (SAP Manufacturing Integration and Intelligence)
Produkt: SAP MII (SAP Manufacturing Integration and Intelligence)
Software komponente: XMII 15.1 – 15.5
- Angreifer können bösartigen Code in den JSP einbinden mit welchem Sie auf dem Server Dashboards manipulieren können. Beinhaltet der bösartige Code OS commands kann der Angreifer willkürlich Dateien auf dem Server löschen. Angreifer die als Entwickler authentifiziert sind, können sogar das gesamte System stilllegen.
- Die Sap empfiehlt den Hinweis 3158613 einzuspielen.
- Des Weiteren hat die SAP ein Viren Scan Interface in alle Up- und Download Aktivitäten von SAP MII implementiert.
Eine weitere Schwachstelle besteht beim Browser-Control Google Chromium in SAP Business Client. Der Hinweis wird laufend aktualisiert: 2622660
Produkt: SAP Business Client
- Angreifer können die Schwachstellen im Drittanbieter-Webbrowser-Control Chromium ausnutzen und so an Systeminformationen beschaffen mit welchen weitere Systemangriffe durchgeführt werden könnten.
- Patchen Sie den SAP Business Clienten auf das neueste stabile Major-Release des Browser-Controls Chromium welches die SAP-internen Qualitätsprüfungen von SAP Business Client bestanden hat.
Eine weitere Schwachstelle von Request Schmuggling besteht bei der Nutzung von SAP NetWeaver, SAP Content Server und SAP Web Dispatcher. Der Hinweis wird laufend aktualisiert. 3123396
Produkt: SAP NetWeaver Application Server ABAP, SAP NetWeaver Application Server Java, ABAP Platform, SAP Content Server 7.53 und SAP Web Dispatcher
Software Komponente: Web Dispatcher BC-CST-WDP
- Die oben gelisteten Produkte sind anfällig für Requst-Schmuggling
- Angreifer können die Anfrage eines Opfers mit beliebigen Daten vorbereiten und auf diese Weise Funktionen ausführen, dies könnte zur Gefährdung der Vertraulichkeit, Integrität und Verfügbarkeit des Systems führen.
- Spielen Sie die von der SAP beigefügten Korrekturen in ihr System (erfordert einen Kernel Patch sowie Support Package Patch) um diese Sicherheitslücke zu beheben.
- Sollten Sie Probleme mit der Einschätzung der Sicherheitslücke haben, beraten wir Sie gerne mit den neuesten Informationen, die von der SAP bereitgestellt werden
Weitere Sicherheitslücken mit der Einstufung High betreffen außerdem folgendes Produkt: SAP Web Dispatcher
HTTP Request Smuggling in SAP Web Dispatcher
Version -7.22, 7.49, 7.53, 7.77, 7.81, 7.83
- Angreifer können eine böswillige Anfrage über ein Netzwerk an einen Frontend-Server senden, die über mehrere Versuche hinweg dazu führen kann, dass der Backend-Server eine schädliche Payload ausführt, die verwendet werden kann, um Informationen auf dem Server zu lesen oder zu ändern.
- Aktualisieren Sie Ihren SAP Web Dispatcher, oder nutzen Sie den Workaround.
- Sollten Sie Probleme mit der Einschätzung der Sicherheitslücke haben, beraten wir Sie gerne mit den neuesten Informationen, die von der SAP bereitgestellt werden
Nähere Informationen zu allen veröffentlichten Sicherheitslücken vom SAP Patch Day April finden Sie hier. (https://launchpad.support.sap.com/#/securitynotes)
Wenn Sie Unterstützung bei der Bewertung der Sicherheitslücken in Bezug auf Ihre Systeme benötigen, wenden Sie sich gern direkt an Herrn René Studtmann unter Rene.Studtmann@cpro-ips.com.
Stand: 20. April 2022