SAP Basis & Security SAP Patch Day April 2023

Die als „Hot News“ veröffentlichten Sicherheitslücken betreffen dieses Mal folgendes Produkt:

Produkt: SAP Diagnostics Agent (OSCommand Bridge and EventLogServiceCollector), Versionen –720

Komponente: LM-SERVICE 7.20

Durch eine Sicherheitslücke im EventLogServiceCollector besteht die Möglichkeit, einen Fremdcode einzuspielen, auch die OSCommand Bridge ist von dieser Sicherheitslücke ebenfalls betroffen.

• Diese erlaubt es einem Angreifer, bösartige Skripte für alle verbundenen Diagnostics-Agents auszuführen, die unter Windows laufen, was sich auf die Vertraulichkeit und Integrität des Systems auswirkt und im schlimmsten Fall zum Systemabsturz führt.
• Die SAP empfiehlt die aktuellste LM_SERVICE-Version einzuspielen, wodurch die Komponenten EventLogServiceCollector und OSCommand Bridge aus dem SAP-Diagnostics-Agent entfernt werden.

• Mehr dazu finden Sie unter dem Hinweis 3305369.

Eine weitere als „Hot News" eingestufte Sicherheitslücke betrifft mehrere Sicherheitslücken, die in der Browser-Control Google Chromium in Verbindung mit dem SAP Business Client aufgetreten sind.

Produkt: SAP Business Client, Versionen -6.5, 7.0, 7.70

Komponente: SAP BUSINESS CLIENT 6.5 SP005 – SP022, SAP BUSINESS CLIENT 7.0 SP000 – SP001

Im Dritthersteller-Browser Google Chromium bestehen mehrere Schwachstellen im Sicherheitsbereich.

• Hierdurch bestehen im SAP Business Client durch die Open-Source-Browser-Control verschiedene Schwachstellen, die zu Speicherschäden, der Offenlegung von Informationen im System oder sogar zum Systemabsturz führen können.
• Die SAP empfiehlt die aktuellsten Patche für den SAP Business Client zu installieren, da diese alle das neueste und stabile Major-Release des Browser-Controls Chromium enthalten.
• Mehr dazu finden Sie unter dem Hinweis: 2622660.

Eine weitere als „Hot News" eingestufte Sicherheitslücke betrifft eine Sicherheitslücke in der Zugriffskontrolle in SAP NetWeaver AS Java.

Produkt: SAP NetWeaver Process Integration, Version –7.50

Komponente: MESSAGING 7.50

• Ein Angreifer kann sich über das Netzwerk an eine offene Schnittstelle anhängen, die über JNDI von der User Defined Search (UDS) von SAP NetWeaver AS bereitgestellt wird, und ein offenes Benennungs- und Verzeichnis-API verwenden, um auf Services zuzugreifen, mit denen unberechtigte Vorgänge ausgeführt werden können.
• Dies hat Auswirkungen auf alle Benutzer und Daten im gesamten System. Es eröffnet sich die Möglichkeit, als Angreifer vollen Lesezugriff auf Benutzerdaten zu haben, eingeschränkte Änderungen an Benutzerdaten vorzunehmen und die Performance des Systems zu verschlechtern.
• Dies hat große Auswirkungen auf die Vertraulichkeit und begrenzte Auswirkungen auf die Verfügbarkeit und Integrität der Anwendung.
• Die SAP empfiehlt das aktuellste Support-Package einzuspielen.
• Mehr dazu finden Sie unter dem Hinweis: 3273480.

Eine weitere als „Hot News" eingestufte Sicherheitslücke betrifft die Offenlegung von Informationen in der BusinessObjects Business Intelligence Platform

Produkt: SAP BusinessObjects Business Intelligence Platform (Promotion Management,Versions -420, 430)

Komponente: ENTERPRISE 420-430

• Aufgrund eines fehlenden Kennwortschutzes in der lcmbiar-Datei können verschlüsselte Informationen, die in der Datei gespeichert sind, gelesen werden.
• Ein Angreifer mit grundlegenden Berechtigungen kann Zugriff auf die Datei lcmbiar erhalten und diese weiter entschlüsseln.
• Nachdem dieser Angreifer Zugriff auf die Kennwörter des BI-Benutzers erhalten hat, kann der Angreifer – abhängig von den Berechtigungen des BI-Benutzers – mit diesem Benutzer Vorgänge ausführen, die die Anwendung vollständig gefährden können.
• Die SAP empfiehlt die aktuellen Support Packages einzuspielen.
• Mehr dazu finden Sie unter dem Hinweis: 3298961.

Eine weitere als „Hot News" eingestufte Schwachstelle betrifft die Ausführung von beliebigem Code im SAP Solution Manager und verwalteten ABAP-Systemen (ST-PI)

Produkt: SAP Solution Manager and ABAP managed Systems (ST-PI), Versions -2008_1_700, 2008_1_710and 740

Komponente: ST-PI 2008_1_700, ST-PI 2008_1_710, ST-PI 740

• Ein Angreifer, der als Benutzer mit einer nicht-administrativen Rolle und einer allgemeinen Berechtigung für die Remote-Ausführung authentifiziert ist, kann über eine angreifbare Schnittstelle eine Anwendungsfunktion ausführen, um Aktionen auszuführen, zu deren Ausführung er normalerweise nicht berechtigt wäre.
• Dies ermöglicht es ihm, Benutzer- oder Anwendungsdaten zu lesen oder zu ändern oder den Zugriff auf die Anwendung zu blockieren, was zu einem Ausfall des SAP Solution Manager-Systems führen kann.
• Die SAP empfiehlt die im Hinweis beigefügte Korrekturanleitung einzuspielen, welche die Sicherheitslücke schließt.
• Mehr dazu finden Sie unter dem Hinweis: 3296476.

Eine als „Hot News" eingestufte Schwachstelle besteht durch eine mögliche Pfaddurchquerung in SAP NetWeaver AS für ABAP und die ABAP-Platform

Produkt: SAP NetWeaver Application Server for ABAP and ABAP Platform, Versions -700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, 791

Komponente: SAP_BASIS 700 – 702, 731, 740, 750-757, 791

• Durch eine Schwachstelle in SAP NetWeaver Application Server für ABAP und in der ABAP Platform besteht die Möglichkeit für einen Angreifer, einen Directory-Traversal-Fehler in einem verfügbaren Service auszunutzen, um die Systemdateien zu überschreiben.
• Es können bei diesem Angriff keine Daten gelesen werden, potenziell kritische Betriebssystemdateien können aber überschrieben werden, sodass das System nicht verfügbar ist.
• Durch Korrekturanleitung oder Support Package aus dem vorliegenden SAP-Hinweis 3294595 ist der uneingeschränkte Dateizugriff in der beschriebenen Situation nicht mehr zulässig.
• Mehr dazu finden Sie unter dem Hinweis 3294595.

Eine als „hoch" eingestufte Schwachstelle besteht durch eine mögliche Pfaddurchquerung im SAP NetWeaver (BI CONT ADDON)

Produkt: SAP NetWeaver (BI CONT ADDON), Versions -707, 737, 747, 757

Komponente: BI_CONT 707, 737, 747, 757

• Durch eine Schachstelle kann ein Angreifer eine Pfaddurchquerungsschwachstelle in einem Report ausnutzen, um Dateien auf den SAP-Server hochzuladen und zu überschreiben.
• Es können bei diesem Angriff keine Daten gelesen werden, aber potenziell kritische Betriebssystemdateien können überschrieben werden, sodass das System nicht verfügbar ist.
• Die SAP empfiehlt die Korrekturanleitung oder das aktuellste Support Package einzuspielen.
• Mehr dazu finden Sie unter dem Hinweis 3305907.

Nähere Informationen zu allen veröffentlichten Sicherheitslücken vom SAP Patch Day April finden Sie hier.

Wenn Sie Unterstützung bei der Bewertung der Sicherheitslücken in Bezug auf Ihre Systeme benötigen, wenden Sie sich gern direkt an Herrn René Studtmann unter Rene.Studtmann@cpro-ips.com.