Kontakt & Service
Jetzt Beratung vereinbaren

In wenigen Schritten einen Beratungs­termin mit unseren Experten buchen.

Anwender Helpdesk

Hilfestellung bei Problemen in Ihren SAP-Systemen.

Schulungen

Unser Schulungsangebot. Jetzt informieren!

Webinare

Unser Webinarangebot. Jetzt informieren!

SAP Basis & Security SAP Patch Day August 2023

Die als „Hot News“ veröffentlichten Sicherheitslücken betreffen dieses Mal folgende Produkte:

Produkt: SAP PowerDesigner, Version 16.7

Komponente: SYBASE POWERDESIGNER CLIENT 16.7, SYBASE POWERDESIGNER PROXY 16.7

Im von Sybase entwickelten PowerDesigner besteht eine Schwachstelle in der Zugriffskontrolle, wodurch ein Angreifer über einen beliebigen Proxy-Server Anfragen an die Backend-Datenbank ausführen kann.

  • SAP PowerDesigner ruft sämtliche Kennworthashes in der Backend-Datenbank ab und führt einen Abgleich mit dem vom Benutzer bei der Anmeldung angegebenen Hash durch. Dies könnte einem Angreifer die Möglichkeit bieten, auf Kennworthashes aus dem Mandantenspeicher zuzugreifen.
  • Zur Behebung dieser Schwachstelle sollten Sie die Aktualisierung auf SAP PowerDesigner Client und Proxy-Version 16.7 SP06 PL04 oder 16.7 SP07 durchführen, um die Proxy-seitige Authentifizierungsschwachstelle zu beheben und eine Erweiterung der Protokollierung für den Nachweis von Zugriffsverletzungen zu erhalten.
  • Mehr dazu finden Sie unter dem Hinweis 3341460.

Eine weitere als „Hot News" eingestufte Sicherheitslücke betrifft eine BS-Befehl-Injection-Schwachstelle in SAP ECC und SAP S/4HANA (IS-OIL)

Produkt: SAP ECC and SAP S/4HANA (IS-OIL)

Komponente: IS-OIL 600 - 807

Ein Programmfehler im Funktionsbaustein sowie im Report ermöglicht es einem Angreifer, die IS-OIL-Komponente in SAP ECC und SAP S/4HANA einen beliebigen Betriebssystembefehl in einem ungeschützten Parameter in einer gemeinsamen (Standard-)Erweiterung einzuschleusen.

  • Das Problem wird durch einen Programmfehler im Funktionsbaustein und Report verursacht, der einen nicht authentifizierten Zugriff auf den Anwendungsserver ermöglicht.
  • Bei erfolgreicher Ausnutzung kann der Angreifer die Systemdaten lesen oder ändern sowie das System herunterfahren.
  • Die SAP empfiehlt über die Transaktion SFW_BROWSER zu prüfen, ob IS_OIL in Ihrem System verfügbar ist.
  • Die SAP empfiehlt die Support Packages einzuspielen oder ein Upgrade durchzuführen.
  • Mehr dazu finden Sie unter dem Hinweis 3350297.

Es besteht eine weitere als „hoch" eingestufte Schwachstelle in der SAP Commerce Cloud

Produkt: SAP Commerce, Versionen – HY_COM 2105, HY_COM 2205, COM_CLOUD 2211

Komponente: HY_COM 2105-2205, COM_CLOUD 2211

In spezifischen Einstellungen der SAP Commerce Cloud besteht die Möglichkeit, eine leere Kennwortphrase für die Authentifizierung mittels Benutzername und Kennwort zu verwenden. Dies eröffnet die Möglichkeit, dass sich Benutzer ohne Angabe einer Kennwortphrase im System anmelden können.

  • Zur Behebung dieser Schwachstelle wurden in SAP Commerce Cloud Maßnahmen ergriffen, indem der Standardwert der Konfigurationseigenschaft „user.password.acceptEmpty" auf „false" gesetzt wurde.
  • Damit diese Änderung wirksam wird, spielen Sie bitte die aktuellen Patche ein.
  • Mehr dazu finden Sie unter dem Hinweis 3346500.

Eine weitere als „hoch" eingestufte Sicherheitslücke betrifft eine Directory-Traversal-Schwachstelle in SAP NetWeaver (BI_CONT-ADD-ON)

Produkt: SAP NetWeaver (BI CONT ADD ON), Versionen –707, 737, 747, 757

Komponente: BI_CONT 707, 737, 747, 757

  • Es besteht eine Verzeichnisaufruf-Sicherheitslücke, die von einem Angreifer mittels eines Reports ausgenutzt werden kann.
  • Ein Angreifer mit begrenzten Rechten kann durch einen Directory-Traversal-Fehler potenziell Systemdateien überschreiben.
  • Zwar sind vertrauliche Daten nicht gefährdet, jedoch könnte die Kompromittierung des Systems durch das Überschreiben von Betriebssystemdateien eintreten.
  • Die SAP empfiehlt eine Korrektur einzuspielen. Danach sollte der Report nicht mehr ausgeführt werden können.
  • Mehr dazu finden Sie unter dem Hinweis 3331376 3350297 (Haupthinweis).

Eine weitere als „Hot News" eingestufte Sicherheitslücke betrifft eine Code-Injection-Schwachstelle in SAP PowerDesigner

Produkt: SAP PowerDesigner, Version: 16.7

  • Bei Verwendung von SAP SQLA für PowerDesigner 17, gebündelt mit SAP PowerDesigner 16.7 SP06 PL03, kann ein Angreifer mit lokalem Zugriff einen schädlichen Code einschleusen. Dies ermöglicht die Manipulation des Anwendungssystems durch den Angreifer.
  • Die Verbindung eines SAP PowerDesigner-Mandanten über ODBC zum gebündelten „SQL Anywhere for PowerDesigner" kann potenziell zur Befehlseinschleusung führen.
  • Gleichzeitig kann die ODBC-Verbindung des SAP PowerDesigner-Proxy zum gebündelten „SQL Anywhere for PowerDesigner" zur Befehlseinschleusung mit Rechteausweitung führen.
  • Die Lösung wurde umgesetzt, indem eine aktualisierte Ausgabe von SQL Anywhere 17 bereitgestellt wurde, die standardmäßig die benutzerdefinierte Unicode-Erweiterungs-DLL nicht mehr lädt.
  • Um dieses Problem zu beheben, empfehlen wir ein Upgrade auf die separat verfügbare Version „SAP SQLA FOR POWERDESIGNER 17" SP07 PL01, die am 13. Juni 2023 veröffentlicht wurde und auf „SQL Anywhere 17" SP01 PL11 basiert.
  • Mehr dazu finden Sie unter dem Hinweis 3341599.

Es besteht eine weitere als „hoch" eingestufte Cross-Site-Scripting-Schwachstelle (XSS) in SAP Business One

Produkt: SAP Business One, Version: 10.0

Komponente: B1_ON_HANA 10.0, SAP-M-BO 10.0

  • In SAP Business One besteht die Möglichkeit einer Cross-Site-Scripting (XSS)-Verwundbarkeit, bei der ein Angreifer einen bösartigen Code in den Inhalt einer Webseite oder Anwendung einschleusen und an den Client übermitteln kann. Dies birgt die Gefahr von schädlichen Aktionen, die die Vertraulichkeit, Integrität und Verfügbarkeit der betroffenen Anwendung beeinträchtigen können.
  • Die Schwachstelle wurde durch eine Eingabevalidierung und eine erweiterte CSP (Content Security Policy) bei der Ausgabe erfolgreich behoben. Diese Maßnahmen werden im FP2305 Security Patch 1 (Security Hotfix 01) umgesetzt. Die entsprechenden Patches sind im SAP ONE Support Launchpad verfügbar.
  • Mehr dazu finden Sie unter dem Hinweis 3358300.

Eine weitere als „Hot News" eingestufte Sicherheitslücke betrifft den Installer von SAP BusinessObjects Business Intelligence Suite, indem ein binärer Hijacking-Angriff möglich wird.

Produkt: SAP BusinessObjects Business Intelligence (installer) Versionen: 420, 430

Komponente: ENTERPRISE 420- 430

  • Durch eine Schwachstelle des Installers von SAP Business Objects kann ein authentifizierter Angreifer im Netzwerk die Möglichkeit erlangen, eine ausführbare Datei zu überschreiben.
  • Diese Datei wird während des Installationsvorgangs in einem temporären Verzeichnis erstellt. Durch das Ersetzen dieser legitimen ausführbaren Datei durch eine schädliche Datei kann ein Angreifer die Vertraulichkeit, Integrität und Verfügbarkeit des Systems erheblich gefährden.
  • Dieses Problem wird durch eine verbesserte Prüfung der Benutzerrechte behoben.
  • Die SAP empfiehlt die Support Packages einzuspielen.
  • Mehr dazu finden Sie unter dem Hinweis 3317710.

Eine weitere als „Hot News" eingestufte Sicherheitslücke betrifft die SAP-BusinessObjects-Business-Intelligence-Platform (CMC) in der eine Denial-of-Service-Schwachstelle (DoS) aufgrund der Nutzung einer anfälligen Version von Commons FileUpload identifiziert wurde.

Produkt: SAP BusinessObjects Business Intelligence Platform

Komponente: 420

  • In der SAP-BusinessObjects-Business-Intelligence-Platform (CMC) wird eine verwundbare Version von Commons FileUpload verwendet, die aufgrund von CVE-2023-24998 anfällig für Denial-of-Service (DoS) ist
  • Um das Commons FileUpload zu beheben, wird ein Upgrade auf eine Version durchgeführt, die nicht von CVE-2023-24998 betroffen ist.
  • Die SAP empfiehlt die aktuellen Support Packages einzuspielen.
  • Die aktuellen Patch-Level finden Sie unter diesem Hinweis 3312047.

Eine weitere als „Hot News" eingestufte Sicherheitslücke besteht aufgrund einer falschen Berechtigungsprüfung in SAP Message Server

Produkt: SAP Message Server, Versionen: ersions–KERNEL 7.22, KERNEL 7.53, KERNEL 7.54, KERNEL 7.77, RNL64UC 7.22, RNL64UC 7.22EXT, RNL64UC 7.53, KRNL64NUC 7.22, KRNL64NUC 7.22EX

Komponente: KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, KERNEL 7.22. 7.53 7.77, 7.54

  • Unter spezifischen Umständen kann die Zugriffskontrollliste (ACL) des SAP Message Servers umgangen werden. Hierdurch erhält ein authentifizierter Angreifer möglicherweise die Fähigkeit, in das Netzwerk der von dem betroffenen SAP Message Server bedienten Systeme einzudringen. Dies birgt das Risiko von unbefugtem Lesen und Schreiben von Daten sowie einer möglichen Beeinträchtigung der Systemverfügbarkeit.
  • Damit ein Angreifer die vorliegende Schwachstelle auszunutzen kann, müssen spezifische Anforderungen erfüllt sein.
  • Diese sind in dem Hinweis 3344295 dokumentiert.
  • Spielen Sie den neusten SP-Stack-Kernel ein. Hinweis: 2083594.
  • Weitere Informationen finden Sie unter dem Hinweis 3344295.

Eine weitere als „Hot News" eingestufte Sicherheitslücke besteht aufgrund einer SQL-Injection-Schwachstelle in SAP Business One (B1i-Schicht)

Produkt: SAP Business One (B1i Layer), Version 10.0

Komponente: B1_ON_HANA 10.0, SAP-M-BO 10.0

  • Das B1i-Modul in SAP Business One ermöglicht einem authentifizierten Benutzer mit Fachwissen, gezielte Netzwerkabfragen durchzuführen, um auf SQL-Daten zuzugreifen oder sie zu verändern.
  • Ein erfolgreicher Angriff kann die Vertraulichkeit leicht beeinträchtigen, aber die Integrität und Verfügbarkeit der Anwendung stark gefährden.
  • Es wird empfohlen, dass Kunden ein Upgrade auf SAP Business One 10.0 FP2305 durchführen. Die erforderlichen Patches sind im SAP ONE Support Launchpad verfügbar.
  • Weitere Informationen finden Sie unter diesem Hinweis 3337797.

Nähere Informationen zu allen veröffentlichten Sicherheitslücken vom SAP Patch Day Juli finden Sie hier.

Wenn Sie Unterstützung bei der Bewertung der Sicherheitslücken in Bezug auf Ihre Systeme benötigen, wenden Sie sich gern direkt an Herrn René Studtmann unter Rene.Studtmann@cpro-ips.com.

Newsletter Setzen Sie auf fundiertes Wissen aus allen Bereichen unserer Branche. Regelmäßig und stets aktuell.
Beratende Person
Kontakt Haben Sie Fragen oder wünschen weitere Informationen? Unsere Experten beraten Sie gerne.