Inhaltsverzeichnis
Die als „Hot News“ veröffentlichten Sicherheitslücken betreffen dieses Mal folgende Produkte:
Produkt: SAP NetWeaver AS Java User Management Engine, Versionen SERVERCORE 7.50, J2EE-APPS 7.50, UMEADMIN 7.50
Die Funktionen der „Selbstregistrierung" und „Ändern Sie Ihr eigenes Profil" in der Benutzerverwaltungsanwendung von SAP NetWeaver AS Java erfüllen nicht die angemessenen Sicherheitsanforderungen für den Inhalt der neu definierten Sicherheitsantwort.
- Wenn diese Schwachstelle erfolgreich ausgenutzt wird, hat dies geringfügige Auswirkungen auf die Vertraulichkeit, die Integrität und die Verfügbarkeit des Systems.
- Die Anforderungen für das Passwort des Benutzers gelten jetzt auch für die Sicherheitsantwort in den Einstellungen, für die Selbstregistrierung und das Ändern des eigenen Profils.
- Die Sicherheitsantwort wurde so gestaltet, dass sie die Unterscheidung zwischen Groß- und Kleinschreibung ignoriert.
- Die SAP empfiehlt, Ihren SAP NetWeaver Application Server Java auf ein Support Package oder Release, in dem das Problem behoben ist, zu patchen.
- Mehr dazu finden Sie unter dem Hinweis: 3434839.
Eine weitere als „Hot News" eingestufte Sicherheitslücke betrifft die Offenlegung von Informationen in SAP BusinessObjects Web Intelligence
Produkt: SAP BusinessObjects Web Intelligence, Versionen 4.2, 4.3
Durch eine fehlerhafte Validierung eines manipulierten Excel-Datei-Inhalts, der in das System geladen wird, können authentifizierte Angreifer über das SAP BusinessObjects Business Intelligence Launchpad auf Betriebssysteminformationen zugreifen.
- Eine erfolgreiche Ausnutzung der Schwachstelle kann sich erheblich auf die Vertraulichkeit der Anwendung auswirken.
- Die SAP empfiehlt, die aktuellen stabilen Support-Packages einzuspielen.
- Mehr dazu finden Sie unter dem Hinweis: 3421384.
Eine weitere als „Hot News" eingestufte Sicherheitslücke betrifft eine Pfad-Durchquerungs-Schwachstelle in SAP Asset Accounting
Produkt: SAP Asset Accounting, Versionen: SAP_APPL 600, SAP_APPL 600, SAP_APPL 600, SAP_APPL 600, SAP_APPL 600, SAP_APPL 600, SAP_FIN617, SAP_FIN 618, SAP_FIN700
Durch eine unzureichende Validierung von Pfadinformationen, die von Benutzern innerhalb von SAP Asset Accounting bereitgestellt werden, kann ein Angreifer mit hohen Berechtigungen diese einsehen und an die Datei-APIs übergeben.
- Dies könnte zu einer Schwachstelle führen, die es dem Angreifer ermöglicht, Befehle einzuschleusen und auszuführen.
- Die SAP empfiehlt, die aktuellen stabilen Support-Packages einzuspielen.
- Nach der Implementierung der Korrektur aus dem Support-Package wird das Programm RAALTE00 deaktiviert.
- Stattdessen überprüft das Programm RAALTD01 die Pfadinformationen ordnungsgemäß auf Übereinstimmung mit den logischen Dateinamen FI_AA_DATA_TAKEOVER_INPUT und FI_AA_DATA_TAKEOVER_ERROR.
- Als Behelfslösung empfiehlt die SAP, den Programmen RAALTE00 und RAALTD01 eine Berechtigungsgruppe zuzuweisen, um sicherzustellen, dass die Programme von niemandem ohne spezielle Berechtigungen ausgeführt werden können.
- Mehr dazu finden Sie unter dem Hinweis: 3438234.
Nähere Informationen zu allen veröffentlichten Sicherheitslücken vom SAP Patch Day April finden Sie hier.
Wenn Sie Unterstützung bei der Bewertung der Sicherheitslücken in Bezug auf Ihre Systeme benötigen, wenden Sie sich gern direkt an Herrn René Studtmann unter Rene.Studtmann@cpro-ips.com.
