Die als „Hot News“ veröffentlichten Lücken betreffen dieses Mal folgendes Produkt:
Produkt: SAP BusinessObjects Business Intelligence Platform, Versions -420, 430
Komponente: ENTERPRISE 420-430
Durch eine Schwachstelle in der SAP-BusinessObjects-Plattform kann ein Angreifer eine beliebige Datei auf dem BusinessObjects-Server auf Betriebssystemebene hochladen.
- Ein Angreifer kann durch schädliche Dateien die Kontrolle über das gesamte System übernehmen, was sich auf die Verfügbarkeit und Integrität des Systems auswirkt.
- Die SAP empfiehlt die aktuellen Support Packages und Patches einzuspielen.
- Mehr dazu finden Sie unter dem Hinweis 3239475
Eine weitere Hot News Schwachstelle betrifft das SAPUI5 Framework
Produkt: SAP NetWeaver Process Integration, Version –7.50
Komponente: MESSAGING SYSTEM SERVICE 7.50 SP020 – SP027
- Durch eine falsche Zugriffskontrolle kann ein Angreifer sich über das Netzwerk an eine offene Schnittstelle anhängen, die über JNDI von der User Defined Search (UDS) von SAP NetWeaver Process Integration (PI) bereitgestellt wird, und ein offenes Benennungs- und Verzeichnis-API verwenden, um auf Services zuzugreifen, mit denen unberechtigte Vorgänge ausgeführt werden können, die sich auf Benutzer und Daten im gesamten System auswirken.
- Der Angreifer kann dadurch vollen Lesezugriff auf Benutzerdaten erhalten sowie beschränkte Änderungen an Benutzerdaten vornehmen welche die Performance und Integrität des Systems negativ beeinträchtigen.
- Durch eine in der Korrektur enthaltenen Berechtigungsprüfung in allen öffentlichen Methoden sowie einer zusätzlichen Prüfung aller Klauseln konnte die Schwachstelle behoben werden.
- Mehr dazu finden Sie unter dem Hinweis 3273480
Eine weitere Hot News Schwachstelle betrifft SAP Commerce
Produkt: SAP Commerce, Versions-1905, 2005, 2105, 2011, 2205
Komponente: HY_COM 1905, 2005, 2105, 2011, 2205
- Durch eine Remote Code Ausführungsschwachstelle in Verbindung mit Apache- Commons Text in SAP Commerce besteht eine Sicherheitslücke.
- Apache Commons Text führt eine Variableninterpolation durch. Anwendungen, die die Interpolationsstandardwerte in den betroffenen Versionen verwenden, sind möglicherweise anfällig für die Remote-Ausführung von Code oder unbeabsichtigten Kontakt mit Fremdservern wenn nicht vertrauenswürdige Konfigurationswerte verwendet werden.
- Dadurch kann die Vertraulichkeit und die Verfügbarkeit des Systems durch einen Angriff Gefährdet werden.
- Die SAP Empfiehlt ein Upgrade des Systems durchzuführen
- Mehr dazu finden Sie unter dem Hinweis: 3271523
Eine weitere Hot News Schwachstelle betrifft SAP NetWeaver Process Integration
Produkt: SAP NetWeaver Process Integration,Version–7.50
Komponente: MESSAGING SYSTEM SERVICE 7.50 SP020 – SP27
- Durch eine falsche Zugriffskontrolle in SAP NetWeaver Process Integration (Messaging-System) kann ein Angreifer sich an eine offene Schnittstelle anhängen welche über JNDI vom Messaging System von SAP NetWeaver Process Integration (PI) bereitgestellt wird.
- Ein Angreifer kann ein offenes Namens- und Verzeichnis-API verwenden, um auf Services zuzugreifen, mit denen er unberechtigte Operationen ausführen kann.
- Die Schwachstelle wirkt sich auf lokale Benutzer und Daten aus, was erhebliche Auswirkungen auf die Vertraulichkeit sowie die Verfügbarkeit und auch begrenzte Auswirkungen auf die Integrität der Anwendung hat.
- Die SAP Empfiehlt die aktuellen Support Packages einzuspielen.
- Mehr dazu finden Sie unter dem Hinweis: 3267780
Eine weitere Schwachstelle ist die Code-Injection-Schwachstelle in SAP BASIS
Produkt: SAPBASIS, Versions –731, 740, 750, 751, 752, 753, 754, 755, 756, 757, 789, 790, 791
- Aufgrund des uneingeschränkten Umfangs des RFC-Funktionsbausteins ermöglicht SAP BASIS einem authentifizierten Nicht-Administrator-Angreifer den Zugriff auf eine Systemklasse und das Ausführen einer der öffentlichen Methoden mit vom Angreifer bereitgestellten Parametern.
- Bei erfolgreicher Ausnutzung kann der Angreifer die volle Kontrolle über das System erlangen, zu dem die Klasse gehört, was große Auswirkungen auf die Integrität der Anwendung hat.
- Die Sap empfiehlt die aktuelle Korrekturanleitung einzuspielen.
- Mehr dazu finden Sie unter dem Hinweis 3239293
Eine weitere Schwachstelle betrifft das Cross-Site Scripting (XSS) in SAP Commerce
Produkt: SAP Commerce Webservices 2.0 (Swagger UI), Versions-1905, 2005, 2105, 2011, 2205
Komponente: HY_COM - 1905, 2005, 2105, 2011, 2205
- Aufgrund einer fehlenden ordnungsgemäßen Eingabevalidierung ermöglicht die Swagger-UI von SAP Commerce Webservices 2.0 schädliche Eingaben aus nicht vertrauenswürdigen Quellen, die von einem Angreifer genutzt werden können, um einen DOM-Cross-Site-Scripting-Angriff (XSS-Angriff) auszuführen.
- Bei erfolgreicher Ausnutzung kann ein Angreifer in der Lage sein, Benutzer-Token zu stehlen und eine vollständige Kontoübernahme einschließlich des Zugriffs auf Administrationswerkzeuge in SAP Commerce zu erreichen.
- Spielen Sie die aktuellen SAP Commerce Cloud Patche ein um die Schwachstelle zu beheben.
- Mehr dazu finden Sie unter dem Hinweis 3248255
Es bestehen mehrere Schwachstellen in SQlite gebündelt mit SAPUI5
Produkt: SAP Commerce Webservices 2.0 (Swagger UI), Versions-1905, 2005, 2105, 2011, 2205
Komponente: UISAPUI5_STANDALONE 600, 700, 800, 900, 1000, SAP_UI - 754, 755, 756, 757
- Das SAPUI5-Framework verwendet SQLite < 3.39.2, was manchmal einen Array-Bounds-Überlauf ermöglicht. Dies kann von einem Angreifer über das Netzwerk ausgenutzt werden, was erhebliche Auswirkungen auf die Verfügbarkeit von Anwendungen hat, welche SAPUI5 verwenden.
- Die SAP empfiehlt die aktuellen SAPUI5-Patch-Releases einzuspielen
- Mehr dazu finden Sie unter dem Hinweis: 3249990
Nähere Informationen zu allen veröffentlichten Sicherheitslücken vom SAP Patch Day Dezember finden Sie hier.
Wenn Sie Unterstützung bei der Bewertung der Sicherheitslücken in Bezug auf Ihre Systeme benötigen, wenden Sie sich gern direkt an Herrn René Studtmann unter Rene.Studtmann@cpro-ips.com.