Kontakt & Service
Jetzt Beratung vereinbaren

In wenigen Schritten einen Beratungs­termin mit unseren Experten buchen.

Anwender Helpdesk

Hilfestellung bei Problemen in Ihren SAP-Systemen.

Webinare

Unser Webinarangebot. Jetzt informieren!

Newsletter

Jetzt Newsletter abonnieren!

SAP Basis & Security SAP Patch Day August 2024

Eine als „Hot News" eingestufte Sicherheitslücke betrifft eine fehlende Authentifizierungsprüfung in der SAP BusinessObjects Business Intelligence Platform

Produkt: SAP BusinessObjects Business Intelligence Platform, Versionen ENTERPRISE 430, 440

In der SAP BusinessObjects Business Intelligence Platform gibt es eine fehlende Authentifizierungsprüfung.

Wenn das Single Sign-On für die Enterprise-Authentifizierung aktiviert ist, kann ein nicht-autorisierter Benutzer über einen REST-Endpunkt ein Anmeldetoken erlangen.

Die Schwachstelle tritt auf, da SAP Financial Consolidation die benutzergesteuerten Eingaben nicht ausreichend kodiert.

  • Die Konfiguration der Enterprise-Authentifizierung mit Single Sign-On war vor dem Beheben der Schwachstelle nicht standardmäßig gesichert.
  • Dies ermöglicht es einem Angreifer, das System vollständig zu kompromittieren, was erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit des Systems hat.
  • Die SAP empfiehlt das aktuelle Support einzuspielen.
  • Mehr dazu finden Sie unter dem Hinweis: 3479478.

Eine weitere als „Hot News" eingestufte Sicherheitslücke betrifft eine Server-Side-Request-Forgery-Schwachstelle in Anwendungen, die mit SAP Build Apps erstellt wurden

Produkt: SAP Build Apps, Versionen < 4.11.130

Anwendungen, die mit SAP Build Apps entwickelt wurden, sind durch die Verwendung einer veralteten Version der Node.js-Bibliothek anfällig für die Schwachstelle CVE-2024-29415.

  • Eine erfolgreiche Ausnutzung der Sicherheitslücke hat keine Auswirkung auf die Verfügbarkeit des Systems, jedoch birgt sie ein hohes Risiko in Bezug auf die Vertraulichkeit und Integrität von Daten.
  • Die SAP empfiehlt die Anwendung in SAP Build Apps mit Version 4.11.130 oder höher neu zu erstellen.
  • Mehr dazu finden Sie unter dem Hinweis: 3477196.

Eine als „hoch" eingestufte Schwachstelle betrifft die SAP-BEx-Java-Web-Laufzeit, bei der eine XML-Injection im Export-Web-Service stattfinden kann

Produkt: SAP BEx Web Java Runtime Export Web Service, Versionen - BI-BASE-E 7.5, BI-BASE-B 7.5, BI-IBC 7.5, BI-BASE-S 7.5, BIWEBAPP 7.5

  • Ein XML-Dokument, das von einer nicht vertrauenswürdigen Quelle stammt und vom Export-Web-Service der BEx-Java-Web-Laufzeit verarbeitet wird, wird nicht ausreichend validiert.
  • Ein Angreifer kann auf Informationen aus dem SAP ADS-System zugreifen und die Kapazität der XMLForm-Services erschöpfen, was dazu führt, dass das SAP ADS-Rendering für die PDF-Erstellung nicht mehr verfügbar ist.
  • Dies wirkt sich auf die Vertraulichkeit und Verfügbarkeit der Anwendung aus.
  • Die SAP empfiehlt, die in diesem Hinweis referenzierten Support Packages und Patches einzuspielen.
  • Mehr dazu finden Sie unter dem Hinweis: 3485284.

Eine als „hoch" eingestufte Schwachstelle betrifft Prototypverschmutzung in SAP S/4HANA (Verfügbarkeitsschutz Verwaltung)

Produkt: SAP S/4HANA, Versionen - Library Versions - SheetJS CE < 0.19.3

  • Die verwendete Open-Source-Komponente SheetJS CE vor 0.19.3 ist anfällig für „Prototypverschmutzung" beim Lesen speziell gestalteter Dateien.
  • SAP S/4HANA (App „Verfügbarkeitsschutz verwalten“) nutzt die SheetJS-Bibliothek, die eine Schwachstelle (CVE-2023-30533) aufweist.
  • Diese Anfälligkeit kann ein Angreifer ausnutzen, wenn speziell präparierte Dateien verarbeitet werden.
  • Dies wirkt sich auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung aus.
  • Die SAP empfiehlt die Korrekturanleitung oder die in diesem SAP-Sicherheitshinweis referenzierten Support Packages einzuspielen.
  • Mehr dazu finden Sie unter dem Hinweis: 3423268.

Eine weitere als „hoch" eingestufte Sicherheitslücke betrifft Denial-of-Service (DOS) in SAP NetWeaver AS Java (Meta Model Repository)

Produkt: SAP NetWeaver AS Java, Versionen MMR_SERVER 7.5

SAP NetWeaver AS Java ist aufgrund des uneingeschränkten Zugriffs auf die Metamodell-Repository-Services anfällig für DoS-Angriffe (Denial-of-Service). Diese Angriffe können legitimen Benutzer daran hindern, auf die Anwendung zuzugreifen.

  • Eine erfolgreiche Ausnutzung der Sicherheitslücke hat keine Auswirkung auf die Vertraulichkeit und Integrität der Daten, aber dennoch hat diese Schwachstelle erhebliche Auswirkungen auf die Verfügbarkeit der Anwendung.
  • Die SAP empfiehlt die im Hinweis referenzierten Support Packages und patche einzuspielen.
  • Mehr dazu finden Sie unter dem Hinweis: 3460407.

Eine weitere als „hoch" eingestufte Sicherheitslücke  betrifft die Informationsoffenlegung in SAP Commerce Cloud

Produkt: SAP Commerce Cloud, Versionen HY_COM 1808, 1811, 1905, 2005, 2105, 2011, 2205, COM_CLOUD 2211

Bestimmte OCC-API-Endpunkte in SAP Commerce Cloud erlauben es, personenbezogene Daten (PII) wie Passwörter, E-Mail-Adressen, Mobiltelefonnummern, Coupon-Codes und Gutscheincodes als Query- oder Pfadparameter in die Request-URL einzubinden.

  • Eine erfolgreiche Ausnutzung der Sicherheitslücke kann die Vertraulichkeit und Integrität der Anwendung erheblich beeinträchtigen.
  • SAP Commerce Cloud behebt diese Schwachstelle durch die Bereitstellung neuer Varianten der betroffenen OCC-API-Endpunkte
  • Darüber hinaus kündigt SAP Commerce Cloud die alten, anfälligen OCC-API-Endpunkte ab.
  • Die SAP empfiehlt folgende Patche einzuspielen: SAP Commerce Cloud Patch-Release 2205.28, SAP Commerce Cloud Update-Release 2211.27.
  • Mehr dazu finden Sie unter dem Hinweis: 3459935.

Nähere Informationen zu allen veröffentlichten Sicherheitslücken vom SAP Patch Day August finden Sie hier.

Wenn Sie Unterstützung bei der Bewertung der Sicherheitslücken in Bezug auf Ihre Systeme benötigen, wenden Sie sich gern direkt an Herrn René Studtmann unter Rene.Studtmann@cpro-ips.com.

Newsletter Setzen Sie auf fundiertes Wissen aus allen Bereichen unserer Branche. Regelmäßig und stets aktuell.
Beratende Person
Kontakt Haben Sie Fragen oder wünschen weitere Informationen? Unsere Experten beraten Sie gerne.