Kontakt & Service
Jetzt Beratung vereinbaren

In wenigen Schritten einen Beratungs­termin mit unseren Experten buchen.

Anwender Helpdesk

Hilfestellung bei Problemen in Ihren SAP-Systemen.

Schulungen

Unser Schulungsangebot. Jetzt informieren!

Webinare

Unser Webinarangebot. Jetzt informieren!

SAP Security Patch Day Juni

SAP Basis & Security SAP Patch Day Dezember 2021

Die als „Hot News“ veröffentlichten Lücken betreffen dieses Mal folgende Produkte:

Produkt: Verschiedene SAP Java Produkte (Laufende Aktualisierung von der SAP)

Log4Shell: RCE 0-day exploit / Log4j

  • Aktuell gibt es eine Sicherheitslücke in der weitverbreiteten Java-Logging-Bibliothek Log4Shell. Mit dieser können Angreifer beliebigen Code auf dem Server ausführen lassen. Die SAP veröffentlicht entsprechend laufen Hinweise zu betroffenen Produkten. Ein Zentralen-Hinweis gibt es noch nicht.
  • Mit der CVE-Nummer CVE-2021-44228 kann man SAP-Hinweise im SAP-Support Portal zu verschiedenen Java Produkten recherchieren. Sollten Sie Probleme mit der Einschätzung der Sicherheitslücke haben, beraten wir Sie gerne mit den neuesten Informationen, die von der SAP bereitgestellt werden.

Produkt: SAP Business Client, Version - 6.5

Sicherheitsupdates für die mit dem SAP Business Client ausgelieferte Browsersteuerung Google Chromium

  • Dieser Sicherheitshinweis betrifft mehrere Schwachstellen im Drittanbieter-Webbrowser-Control Chromium, welcher im SAP Business Client verwendet werden kann. Dieser Hinweis wird regelmäßig überarbeitet, entsprechend den Updates zu Webbrowsern des Open-Source-Projekts Chromium.
  • Das Einspielen der aktuellen Businessclient Patches, wie in dem Hinweis 2622660 beschrieben behebt diese Sicherheitslücken. Die Patches enthalten das aktuelle stabile Major-Release des Chromium-Browsers, der nach dem SAP Standard geprüft wurde.

Produkt: SAP ABAP Server & ABAP Platform (Translation Tools), Versions - 701, 740,750,751,752,753,754,755,756,804

Code-Injektion-Schwachstelle in SAP ABAP Server & ABAP Platform (Übersetzungstools)

  • Ein Angreifer mit geringen Rechten kann die Schwachstelle in intern verwendeten Textextraktionsberichten (Translation Tools) ausnutzen, was die Ausführung beliebiger Befehle im Hintergrund ermöglicht. Ein Angreifer könnte dadurch das Verhalten der Anwendung kontrollieren und alle Daten kompromittieren.
  • Die Behebung der Schwachstelle erfolgt mit dem Einspielen der Korrektur Anweisung, die im Hinweis 3119365 genau beschrieben wird.

Produkt: SAP S/4HANA, Versionen - 1511, 1610, 1709, 1809, 1909, 2020, 2021

Produkt: SAP LT Replication Server, Versionen - 2.0, 3.0

Produkt: SAP LTRS for S/4HANA, Version - 1.0

Produkt: SAP Test Data Migration Server, Version - 4.0

Produkt: SAP Landscape Transformation, Version - 2.0

 

SQL-Injektion-Schwachstelle im SAP NZDT Mapping Table Framework

  • Aufgrund einer unsachgemäßen Eingabesäuberung kann ein authentifizierter Benutzer mit bestimmten Privilegien die im Lösungsabschnitt aufgeführten NZDT-Funktionsmodule aus der Ferne aufrufen, um eine manipulierte Abfrage auszuführen und so Zugriff auf die Backend-Datenbank zu erhalten. Bei erfolgreicher Ausnutzung der Schwachstelle kann der Angreifer die Vertraulichkeit, Integrität und Verfügbarkeit des Systems vollständig gefährden.
  • Die Behebung der Schwachstelle erfolgt mit dem Einbau des Hinweises 3089831.

Weitere Sicherheitslücken mit der Einstufung High betreffen außerdem folgende Produkte:

Produkt: SAP Commerce, Versions - 1905, 2005, 2105, 2011

SQL-Injektion-Schwachstelle in SAP Commerce

  • Wenn SAP Commerce so konfiguriert ist, dass eine Oracle-Datenbank verwendet wird, und wenn eine Abfrage mit der flexiblen Such-Java-Api mit einer parametrisierten "in"-Klausel erstellt wird, ermöglicht SAP Commerce Angreifern, manipulierte Datenbankabfragen auszuführen und die Backend-Datenbank offenzulegen. Die Sicherheitslücke ist vorhanden, wenn die parametrisierte "in"-Klausel mehr als 1000 Werte akzeptiert.
  • Das Problem kann jede Art von Erweiterung betreffen, die die flexible Such-API mit einer "in"-Klausel mit teilweise nicht vertrauenswürdigen Eingaben verwendet, und möglicherweise einige interne Komponenten der Plattform, wenn eine Oracle-Datenbank verwendet wird.
  • Die Behebung der Schwachstelle erfolgt mit dem Einspielen des SAP Commerce Patches wie in Hinweis 3114134 beschrieben.

Produkt: SAP Knowledge Warehouse, Versions - 7.30, 7.31, 7.40, 7.50

Cross-Site Scripting (XSS)-Schwachstelle in SAP Knowledge Warehouse

  • Im SAP-Knowledge Warehouse (SAP KW) wurde eine Sicherheitslücke entdeckt. Die Verwendung einer SAP KW-Komponente innerhalb eines Webbrowsers ermöglicht es unberechtigten Angreifern, XSS-Angriffe durchzuführen, die zur Offenlegung sensibler Daten führen können.
  • Implementieren Sie die Support Packages und Patches, die in dem SAP-Hinweis 3102769 bereitgestellt werden.

Produkt: SAP NetWeaver AS ABAP, Versions - 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755, 756

Code-Injection-Schwachstelle in Utility-Klasse für SAP NetWeaver AS ABAP

  • Zwei Methoden einer Utility-Klasse im SAP NetWeaver AS ABAP ermöglichen es einem Angreifer mit hohen Rechten und direktem Zugriff auf das SAP-System, bei der Ausführung einer Transaktion (SE24 - Class Builder) Code einzuschleusen.
  • Dies könnte die Ausführung beliebiger Befehle auf dem Betriebssystem ermöglichen, was die Vertraulichkeit, Integrität und Verfügbarkeit des Systems stark beeinträchtigen könnte.
  • Implementieren sie den Hinweis 3123196 oder passen Sie die Berechtigungsobjekte an, wie in Hinweis 3123196 beschrieben.

 

Produkt: SAP SuccessFactors Mobile Application (for Android devices), Versions - <2108

Denial of Service (DOS) in der SAP SuccessFactors Mobile Application für Android-Geräte

  • UPDATE 14. Dezember 2021: Dieser Hinweis wurde mit aktualisiertem Text erneut veröffentlicht.
  • In SAP SuccessFactors Mobile Application for Android wurde eine Schwachstelle identifiziert, die es einem Angreifer ermöglicht, legitime Benutzer am Zugriff auf einen Dienst zu hindern, entweder durch Absturz oder Überflutung des Dienstes, was zu einem Denial-of-Service führen kann.
  • Die Schwachstelle steht im Zusammenhang mit Android-Implementierungsmethoden, die in mobilen Android-Anwendungen weitverbreitet sind und in die mobile SAP SuccessFactors-Anwendung eingebettet sind. Diese Android-Methoden werden ausgeführt, sobald der Benutzer auf sein Profil in der mobilen Anwendung zugreift. Während der Ausführung können auch die Aktivitäten anderer Android-Anwendungen erfasst werden, die im Hintergrund des Geräts des Benutzers laufen und dieselben Methoden in der Anwendung verwenden. Eine solche Schwachstelle kann auch zu Phishing-Angriffen führen, die für andere Arten von Angriffen genutzt werden können.
  • Es wurden mehrere Maßnahmen ergriffen, um die festgestellte Sicherheitslücke im jüngsten Software-Update zu beheben. Diese Sicherheitslücke betrifft Benutzer, die die Android-Mobilanwendung in einer Version vor 6.32.1 verwenden. Bitte veranlassen Sie Ihr Unternehmen, die neueste Version der mobilen SAP SuccessFactors-Anwendung für Android herunterzuladen, wie im Hinweis 3077635 beschrieben.

Produkt: SAF-T Framework, Versions - SAP_FIN 617, 618, 720, 730, SAP_APPL 600, 602, 603, 604, 605, 606, S4CORE 102, 103, 104, 105

Directory Traversal Schwachstelle in SAF-T Framework

  • Die SAF-T-Framework-Transaktion SAFTN_G erlaubt es einem Angreifer, eine unzureichende Validierung der vom normalen Benutzer angegebenen Pfadinformationen auszunutzen, was zu einem vollständigen Zugriff auf das Serververzeichnis führt. Der Angreifer kann die gesamte Dateisystemstruktur einsehen, aber keine beliebigen Dateien auf dem Server überschreiben, löschen oder beschädigen.
  • Mit Implementierung der Korrektur aus Hinweis 3124094 wird das Problem behoben.

Produkt: SAP Commerce, Versions - 1905, 2005, 2105, 2011

Denial of Service (DOS) in SAP Commerce

  • Die in SAP Commerce verwendete Bibliothek jsoup kann anfällig für DOS-Angriffe sein. jsoup wird verwendet, um verschiedene produktbezogene Metadaten in b2caccelerator zu bereinigen. Ein Benutzer mit Schreibzugriff auf Produktmetadaten könnte diese Sicherheitsanfälligkeit ausnutzen.
  • Die Behebung der Schwachstelle erfolgt mit dem Einspielen des SAP Commerce Patches wie in Hinweis 3114134 beschrieben.

 

Nähere Informationen zu allen veröffentlichten Sicherheitslücken vom SAP Patch Day Dezember finden Sie hier.

Wenn Sie Unterstützung bei der Bewertung der Sicherheitslücken in Bezug auf Ihre Systeme benötigen, wenden Sie sich gern direkt an Herrn René Studtmann unter Rene.Studtmann@cpro-ips.com.

Stand: 12. Januar 2022

 

Newsletter Setzen Sie auf fundiertes Wissen aus allen Bereichen unserer Branche. Regelmäßig und stets aktuell.
Beratende Person
Kontakt Haben Sie Fragen oder wünschen weitere Informationen? Unsere Experten beraten Sie gerne.