SAP Basis & Security SAP Patch Day April

Die als „Hot News“ veröffentlichten Lücken betreffen dieses Mal folgende Produkte: 

Produkt: SAP Business Client, Version - 6.5 

• Update zum Sicherheitshinweis, der am August 2018 Patch Day veröffentlicht wurde: Sicherheitsupdates für die SAP Business Client ausgelieferte Browsersteuerung Google Chromium. Dieser Sicherheitshinweis betrifft mehrere Schwachstellen im Drittanbieter-Webbrowser-Control Chromium, dass im SAP Business Client verwendet werden kann. Dieser Hinweis wird regelmäßig überarbeitet, entsprechend den Updates zu Webbrowsern des Open-Source-Projekts Chromium.  Das Einspielen der aktuellen Business Client Patches behebt diese Sicherheitslücken, da diese das aktuelle stabile Major-Release des Chromium-Browsers enthalten, welches nach SAP Standard geprüft wurde.

Produkt: SAP NetWeaver AS JAVA (MigrationService), Versions - 7.10, 7.11, 7.30, 7.31, 7.40, 7.50 

• Update zum Sicherheitshinweis, der am März 2021 Patch Day veröffentlicht wurde: Fehlende Berechtigungsprüfung im SAP NetWeaver AS JAVA (MigrationService). Der Migration Service, der Bestandteil von SAP NetWeaver ist, führt keine Berechtigungsprüfung durch. Dies kann einem nicht autorisierten Angreifer den Zugriff auf Konfigurationsobjekte ermöglichen, einschließlich solcher, die Administratorrechte erteilen. Dies könnte zu einer vollständigen Gefährdung der Systemvertraulichkeit, Integrität und Verfügbarkeit führen. Als endgültige Lösung müssen Sie Ihre Systeme mit einer neuen Version der J2EE-APPS.SCA patchen, die im Hinweis 3017823 den beigefügten Korrekturmaßnahmen vorgesehen ist. Die Korrektur fügt die fehlende Berechtigungsprüfung hinzu.

Weitere Sicherheitslücken mit der Einstufung High betreffen außerdem folgendes Produkt:

Produkt: SAP NetWeaver Master Data Management, Versions - 710, 710.750 

• Informationsoffenlegung in SAP NetWeaver Master Data Management: Wenn die Sicherheitsrichtlinien und Empfehlungen bezüglich der administrativen Konten einer SAP NetWeaver Master Data Management-Installation nicht gründlich überprüft wurden, könnte ein böswilliger Benutzer mit Zugriff auf das MDM-Server-Subnetz versuchen, das Passwort mit einer Brute-Force-Methode zu finden. Im Erfolgsfall könnte der Angreifer Zugriff auf hochsensible Daten und MDM-Administrationsrechte erhalten. Die Lösung besteht darin, den neuesten Patch anzuwenden, wodurch die ausführbare Datei des Hauptservers effektiv ersetzt und neu gestartet wird. Darüber hinaus sollte die Verwendung eines sicheren Passworts erzwungen werden, insbesondere für administrative Konten. Es wird dringend empfohlen, neben dem Standardkonto "Admin" einen zusätzlichen administrativen Benutzer anzulegen, um die mögliche Sperrung dieses Standardkontos zu umgehen.

Produkt: SAP Solution Manager, Version - 7.20 

• Offenlegung von Informationen im SAP Solution Manager: Unter bestimmten Bedingungen ermöglicht der SAP Solution Manager einem hoch privilegierten Angreifer den Zugang zu sensiblen Informationen, die über die ausnutzbare Komponente hinaus schwerwiegende direkte Auswirkungen haben. Einige bekannte Auswirkungen von Information Disclosure sind: Verlust von Informationen und der Vertraulichkeit der Systemkonfiguration. Sammeln von Informationen für weitere Exploits und Angriffe.  Mit Implementierung der Korrektur aus Hinweis 3017823 oder einspielen des entsprechenden Support Packages wird das Problem behoben.

Produkt: SAP NetWeaver AS ABAP (SAP Landscape Transformation - DMIS), Versions - 2011_1_620, 2011_1_640, 2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731, 2011_1_752, 2020 

Produkt - SAP S4 HANA (SAP Landscape Transformation), Versions - 101, 102, 103, 104, 105 

• Fehlende Berechtigungsprüfung in SAP NetWeaver AS ABAP und SAP S4 HANA (SAP Landscape Transformation): SAP Landscape Transformation ermöglicht es einem Benutzer mit hoher Berechtigung, einen RFC-Funktionsbaustein auszuführen, auf den der Zugriff eingeschränkt sein sollte. Diese Schwachstelle gibt dem Angreifer die Möglichkeit, einige sensible interne Informationen zu lesen und stellt außerdem sicher, dass anfällige SAP-Systeme nicht mehr verfügbar sind. Der betroffene RFC-Funktionsbaustein wurde nun dazu gezwungen, die Zugriffseinschränkungen korrekt zu prüfen. Spielen im Hinweis 2993132 beigefügte Korrekturanleitung ein.

Produkt: SAP Setup, Version - 9.0 

• Unquotierter Suchpfad in SAP Setup: Ein unquotierter Dienstpfad in SAPSetup könnte zu einer Privilegien Erweiterung während des Installationsprozesses führen, der bei der Registrierung einer ausführbaren Datei durchgeführt wird. Dies könnte weiterhin zu einer vollständigen Kompromittierung von Vertraulichkeit, Integrität und Verfügbarkeit führen. Aktualisieren Sie SapSetup über die Software-Downloads im SAP-Support Portal auf Version 9.0.107.0 oder höher. Nach der Korrektur hat dies keine Auswirkungen auf die Funktion.

Produkt: SAP NetWeaver AS for JAVA (Telnet Commands), Versions - ENGINEAPI - 7.30, 7.31, 7.40, 7.50, ESP_FRAMEWORK - 7.10, 7.20, 7.30, 7.31, 7.40, 7.50, SERVERCORE - 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50, J2EE-FRMW - 7.10, 7.20, 7.30, 7.31, 7.40, 7.50  

• Offenlegung von Informationen in SAP NetWeaver AS for Java (Telnet-Befehle): Ein nicht autorisierter Angreifer kann möglicherweise einen Administrator dazu auffordern, Telnet-Befehle eines SAP NetWeaver Application Server für Java aufzurufen, die es dem Angreifer ermöglichen, NTLM-Hashes eines privilegierten Benutzers zu erhalten. Die Schwachstelle ist das Ergebnis eines SMB-Relay-Angriffs. Diese Korrektur verhindert die Verwendung des SMB-Protokolls. Mit Einspielen des entsprechenden Patches wie in Hinweis 3001824 beschrieben wird das Problem behoben.

Nähere Informationen zu allen veröffentlichten Sicherheitslücken vom SAP Patch Day April finden Sie hier.

Wenn Sie Unterstützung bei der Bewertung der Sicherheitslücken in Bezug auf Ihre Systeme benötigen, wenden Sie sich gern direkt an Herrn René Studtmann unter Rene.Studtmann@cpro-ips.com.

Stand: 4. Mai 2021