Kontakt & Service
Haben Sie Fragen?
040 - 6965850 - 0
info@cpro-ips.com
Jetzt Beratung vereinbaren

In wenigen Schritten einen Beratungs­termin mit unseren Experten buchen.

Anwender Helpdesk

Hilfestellung bei Problemen in Ihren SAP-Systemen.

Webinare

Unser Webinarangebot. Jetzt informieren!

Newsletter

Jetzt Newsletter abonnieren!

SAP Basis & Security SAP Patch Day April 2025

Inhaltsverzeichnis
René Studtmann (Leiter Wartungssupport)
Autor:

René Studtmann (Leiter Wartungssupport)

Bewerten Sie uns
Bewertungen laden ...
Beitrag teilen
Passende Themen
#april25 #patch

Kritisch (Hot News): Code-Injection-Schwachstelle in SAP S/4HANA (Private Cloud oder On-Premise)

Produkt: SAP S/4HANA (Private Cloud), Versionen - S4CORE 102, 103, 104, 105, 106, 107, 108

  • Es besteht eine kritische Code-Injection-Schwachstelle in SAP S/4HANA, die es einem Angreifer mit Benutzerrechten ermöglicht, eine Sicherheitslücke in einem über RFC exponierten Funktionsmodul auszunutzen.
  • Die Schwachstelle gefährdet die Vertraulichkeit, Integrität und Verfügbarkeit des Systems erheblich und wurde mit einem CVSS Score von 9,9 (kritisch) bewertet.
  • Diese Schwachstelle erlaubt das Einschleusen von beliebigem ABAP-Code in das System, wobei wesentliche Autorisierungsprüfungen umgangen werden können. Die Sicherheitslücke funktioniert praktisch wie eine Hintertür und schafft das Risiko einer vollständigen Systemkompromittierung.
  • Es ist kein Workaround für diese Sicherheitslücke verfügbar. SAP empfiehlt dringend, die in diesem SAP-Sicherheitshinweis referenzierten Korrekturanweisungen oder Support Packages zu implementieren.
  • Die bereitgestellte Korrektur beseitigt die Code-Injection-Risiken und stellt sicher, dass die Anwendung keine willkürliche Codeausführung mehr zulässt, wodurch verhindert wird, dass Angreifer bösartige Skripte oder Befehle einschleusen und ausführen können.
  • Mehr dazu finden Sie unter dem Hinweis: 3581961

Kritisch (Hot News): Code-Injection-Schwachstelle in SAP Landscape Transformation

Produkt: SAP Landscape Transformation (Analysis Platform), Versionen - DMIS 2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731, 2018_1_752, 2020

  • Es besteht eine kritische Code-Injection-Schwachstelle in SAP Landscape Transformation (SLT), die es einem Angreifer mit Benutzerrechten ermöglicht, eine Sicherheitslücke in einem über RFC exponierten Funktionsmodul auszunutzen.
  • Die Schwachstelle gefährdet die Vertraulichkeit, Integrität und Verfügbarkeit des Systems erheblich und wurde mit einem CVSS Score von 9,9 (kritisch) bewertet.
  • Diese Schwachstelle erlaubt das Einschleusen von beliebigem ABAP-Code in das System, wobei wesentliche Autorisierungsprüfungen umgangen werden können. Die Sicherheitslücke funktioniert praktisch wie eine Hintertür und schafft das Risiko einer vollständigen Systemkompromittierung.
  • Es ist kein Workaround für diese Sicherheitslücke verfügbar. SAP empfiehlt dringend, die in diesem SAP-Sicherheitshinweis referenzierten Korrekturanweisungen oder Support Packages zu implementieren.
  • Die bereitgestellte Korrektur beseitigt die Code-Injection-Risiken und stellt sicher, dass die Anwendung keine willkürliche Codeausführung mehr zulässt, wodurch verhindert wird, dass Angreifer bösartige Skripte oder Befehle einschleusen und ausführen können.
  • Am 22. April 2025 wurde dieser Hinweis mit aktualisierten Korrekturanweisungen neu veröffentlicht. Es wurden Korrekturen für DMIS 2018 und DMIS 2020 bereitgestellt.
  • Mehr dazu finden Sie unter dem Hinweis: 3587115

Kritisch (Hot News): Authentifizierungsumgehung in SAP Financial Consolidation

Produkt: SAP Financial Consolidation, Version - FINANCE 1010

  • Es besteht eine kritische Authentifizierungsumgehungs-Schwachstelle in SAP Financial Consolidation, die es einem nicht authentifizierten Angreifer ermöglicht, unbefugten Zugriff auf das Admin-Konto zu erlangen.
  • Die Sicherheitslücke wurde mit einem CVSS Score von 9,8 (kritisch) bewertet.
  • Die Schwachstelle entsteht durch unzureichende Authentifizierungsmechanismen, wodurch die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung stark beeinträchtigt werden. SAP Financial Consolidation härtet den Authentifizierungsprozess nicht ausreichend ab.
  • Die Sicherheitslücke im Authentifizierungsprozess wurde durch verbesserte Zugriffssteuerungsmechanismen behoben, um unbefugten Zugriff zu verhindern.
  • Es ist kein Workaround für diese Sicherheitslücke verfügbar. SAP empfiehlt dringend, die in diesem SAP-Sicherheitshinweis referenzierten Support Packages und Patches zu implementieren.
  • Mehr dazu finden Sie unter dem Hinweis: 3572688

Hoch: Schwachstelle bei Passphrasen-Generierung in SAP BusinessObjects BI

Produkt: SAP BusinessObjects Business Intelligence platform (Central Management Console), Versionen - ENTERPRISE 430, 2025

  • Es handelt sich um ein Update zu einer Sicherheitslücke, die bereits im Februar 2025 Patch Day veröffentlicht wurde.
  • Unter bestimmten Bedingungen ermöglicht die SAP BusinessObjects Business Intelligence Plattform einem Angreifer mit Benutzerrechten, eine geheime Passphrase zu generieren oder abzurufen. Dies ermöglicht es dem Angreifer, jeden Benutzer im System zu imitieren, indem er lokal auf das Zielsystem zugreift. Diese Schwachstelle hat erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung.
  • Die Schwachstelle wurde mit einem CVSS Score von 8,8 (hoch) bewertet.
  • Die Sicherheitslücke entsteht durch eine unzureichende Zugriffskontrolle, die es einem Benutzer ermöglicht, auf die geheimen Passphrasen der vertrauenswürdigen Systeme zuzugreifen. Zusätzlich ist die Passphrase nicht hostspezifisch.
  • In der Lösung ist die geheime Passphrase nicht mehr für Benutzer zugänglich. Eine spezifische Passphrase wird im Backend für jeden Web-Anwendungshost generiert und über einen sicheren Kanal ohne manuelle Eingriffe gesendet.
  • Es ist kein Workaround für diese Sicherheitslücke verfügbar. SAP empfiehlt, die in diesem Sicherheitshinweis aufgeführten Patches zu implementieren. Da Version 4.2 nicht mehr gewartet wird, müssen Kunden auf die nächste Version upgraden, um die Korrektur zu erhalten.
  • Nach dem Upgrade auf die in diesem Sicherheitshinweis enthaltenen Patches sollte das System mit HTTPS konfiguriert werden, wie in der Produktdokumentation beschrieben.
  • Mehr dazu finden Sie unter dem Hinweis: 3525794

Hoch: RFC-Sicherheitslücke im SAP NetWeaver Application Server ABAP

Produkt: SAP NetWeaver Application Server ABAP, Versionen - KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93

  • Unter bestimmten Bedingungen ermöglicht der SAP NetWeaver Application Server ABAP einem authentifizierten Angreifer, eine Remote Function Call (RFC)-Anfrage an eingeschränkte Ziele zu erstellen. Diese kann genutzt werden, um Anmeldeinformationen für einen Remote-Dienst offenzulegen.
  • Die Schwachstelle wurde mit einem CVSS Score von 8,5 (hoch) bewertet.
  • Diese Anmeldeinformationen können dann weiter ausgenutzt werden, um den Remote-Dienst vollständig zu kompromittieren, was zu erheblichen Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung führen kann.
  • Die Schwachstelle entsteht durch unzureichende Zugriffskontrolle und ungenügende Einschränkungen bei RFC-Zielen. Die Lösung führt eine ordnungsgemäße Validierung dynamischer Ziele ein.
  • SAP empfiehlt, die in diesem Sicherheitshinweis referenzierten Korrekturanweisungen oder Support Packages zu implementieren. Die Korrektur wird zunächst mit dem in diesem SAP-Hinweis aufgeführten Kernel-Patch-Level ausgeliefert. Alle nachfolgenden Kernel-Patch-Level enthalten ebenfalls die Korrektur.
  • Als Workaround kann der folgende Profilparameter festgelegt werden, um das Legacy-Dynamic-Destination vollständig zu deaktivieren: rfc/dynamic_dest_api_only = 1
  • Achtung: Dieser Workaround kann größere Auswirkungen auf bestehende Anwendungen haben als das Einspielen des Kernel-Patches. Alle Anwendungen, die das Legacy-Dynamic-Destination verwenden, werden fehlschlagen.
  • Mehr dazu finden Sie unter dem Hinweis: 3554667

Hoch: Directory-Traversal-Schwachstelle in SAP Capital Yield Tax Management

Produkt: SAP Capital Yield Tax Management, Versionen - CYTERP 420_700, CYT 800, IBS 7.0, CYT4HANA 100

  • SAP Capital Yield Tax Management weist eine Directory-Traversal-Schwachstelle aufgrund unzureichender Pfadvalidierung auf. Diese Schwachstelle könnte es einem Angreifer mit niedrigen Berechtigungen ermöglichen, Dateien aus Verzeichnissen zu lesen, auf die er normalerweise keinen Zugriff hat.
  • Die Schwachstelle wurde mit einem CVSS Score von 7,7 (hoch) bewertet.
  • Dies führt zu einer hohen Beeinträchtigung der Vertraulichkeit, während die Integrität und Verfügbarkeit nicht betroffen sind.
  • Mit der bereitgestellten Korrektur überprüft die Anwendung nun die vom Benutzer übermittelten Pfade und verhindert beliebige Dateizugriffe.
  • Es ist kein Workaround für diese Sicherheitslücke verfügbar. SAP empfiehlt, die in diesem Sicherheitshinweis erwähnten Korrekturanweisungen oder Support Packages zu implementieren.
  • Mehr dazu finden Sie unter dem Hinweis: 2927164

Hoch: Directory-Traversal-Schwachstelle in SAP NetWeaver und ABAP Platform

Produkt: SAP NetWeaver and ABAP Platform (Service Data Collection), Versionen - ST-PI 2008_1_700, 2008_1_710, 740

  • Aufgrund einer Directory-Traversal-Schwachstelle könnte ein autorisierter Angreifer durch Verwendung eines RFC-aktivierten Funktionsmoduls Zugriff auf kritische Informationen erlangen. Bei erfolgreicher Ausnutzung könnten Dateien von jedem verwalteten System gelesen werden, das mit SAP Solution Manager verbunden ist.
  • Die Schwachstelle wurde mit einem CVSS Score von 7,7 (hoch) bewertet.
  • Dies führt zu einer hohen Beeinträchtigung der Vertraulichkeit, während die Integrität und Verfügbarkeit nicht betroffen sind.
  • Die Schwachstelle entsteht, weil Dateinamen mit Autorisierung als <sid>adm-Benutzer und mit bekanntem 'Prefix'-Pfad zugänglich sein könnten.
  • Mit dieser Korrektur überprüft das Funktionsmodul in der Service Data Collection nun ordnungsgemäß die vom Benutzer übermittelten Pfade und verhindert beliebige Dateizugriffe.
  • Es ist kein Workaround für diese Sicherheitslücke verfügbar. SAP empfiehlt, die in diesem SAP-Sicherheitshinweis referenzierten Korrekturanweisungen oder Support Packages zu implementieren.
  • Mehr dazu finden Sie unter dem Hinweis: 3581811

Nähere Informationen zu allen veröffentlichten Sicherheitslücken vom SAP Patch Day April finden Sie hier.

Wenn Sie Unterstützung bei der Bewertung der Sicherheitslücken in Bezug auf Ihre Systeme benötigen, wenden Sie sich gern direkt an René Studtmann.

Das könnte Sie auch interessieren

SAP Patch Day Mai 2025

Kritisch (Hot News): Fehlende Autorisierungsprüfung in SAP NetWeaver Visual Composer Produkt: SAP NetWeaver (Visual Composer...

SAP Patch Day März 2025

Hoch: Cross-Site Scripting (XSS) Schwachstelle in SAP Commerce (Swagger UI) Produkt: SAP Commerce (Swagger UI),...

SAP Patch Day Februar 2025

Hoch: Cross-Site-Scripting-Schwachstelle in SAP NetWeaver AS Java (User Admin Application) Produkt: SAP NetWeaver AS Java...

SAP Patch Day Januar 2025

Die als „Hot News“ eingestufte veröffentlichte Sicherheitslücke betrifft dieses Mal folgendes Produkt: Produkt: SAP NetWeaver...
Zu Insights
Newsletter Setzen Sie auf fundiertes Wissen aus allen Bereichen unserer Branche. Regelmäßig und stets aktuell.
Beratende Person
Kontakt Haben Sie Fragen oder wünschen weitere Informationen? Unsere Experten beraten Sie gerne.