SAP Basis & Security SAP Patch Day Dezember 2023

Die als „Hot News“ veröffentlichten Sicherheitslücken betreffen dieses Mal folgende Produkte:

Produkt: SAP Business Client, Versionen -6.5, 7.0, 7.70

Komponente: BC-WD-CLT-BUS 6.5, 7.0, 7.70

Im Drittanbieter-Webbrowser-Control Chromium bestehen Sicherheitslücken. Wenn das SAP Business Client Release nicht auf dem aktuellen Patch-Level ist, können beim Anzeigen von Webseiten Schwachstellen im Open-Source-Browser-Controls auftreten.

• Diese reichen von Speicherschäden bis zur Offenlegung sensibler Informationen. Mögliche Folgen sind die Offenlegung von Systeminformationen, Systemabstürze sowie Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit des Systems.
• Die SAP empfiehlt, das aktuelle stabile Patch-Level des Browser-Controls Chromium zu installieren, da dieses die internen Qualitätsprüfungen von SAP bestanden hat und keine Sicherheitslücken aufweist.
• Mehr dazu finden Sie unter dem Hinweis: 2622660.

Eine weitere als „Hot News" eingestufte Sicherheitslücke betrifft die Ausweitung von Berechtigungen in SAP Business Technology Platform (BTP) Security Services Integration Libraries

Betroffene Libraries: Library-@sap/xssec Versionen –< 3.6.0, cloud-security-services-integration-library, Versionen –< 2.17.0 bis 3.0.0 - 3.3.0, sap-xssec Versionen < 4.1.0, cloud-security-client-go Versionen: < 0.17.0

Betroffene Programmierinfrastrukturversionen: Cloud Application Programming Model (CAP) JAVA V1 Versionen < 1.34.8, Cloud Application Programming Model (CAP) JAVA V2 Versionen < 2.4.1, SAP Java Buildpack Versionen < 1.81.1, SAP Cloud SDK für Java Versionen < 4.28.0, SAP Cloud SDK für Node.js Versionen < 3.9.0, Anwendungsrouter Versionen < 14.4.3.

Die Integrationsbibliotheken und Programmierinfrastrukturen von SAP BTP Security Services, welche die oben genannten Bibliotheken einsetzen, können unter bestimmten Umständen eine Ausweitung von Berechtigungen ermöglichen.

• Wenn diese Schwachstelle erfolgreich ausgenutzt wird, kann ein nicht authentifizierter Angreifer innerhalb der Anwendung beliebige Berechtigungen erlangen.
• Die SAP hat dazu unter dem Punkt „Lösung" des Hinweises 3411067 stabile Patches veröffentlicht.
• Die SAP empfiehlt die empfohlenen gepatchten Versionen einzuspielen und Tests mit der Kundenanwendung durchzuführen.
• Mehr dazu finden Sie unter dem Hinweis: 3411067.

Eine weitere Schwachstelle betrifft eine Betriebssystem-Befehl-Injection-Schwachstelle in SAP ECC und SAP S/4HANA (IS-OIL)

Produkt: SAP ECC and SAP S/4HANA (IS-OIL) Versionen: -600, 602, 603, 604, 605, 606, 617, 618, 800, 802, 803, 804, 805, 806, 807, 808

Komponente: IS-OIL 600 - 808

Aufgrund eines Programmfehlers in einem Funktionsbaustein und Report, erlaubt die IS-OIL-Komponente in SAP ECC und SAP S/4HANA einem authentifizierten Angreifer, einen beliebigen Betriebssystembefehl in einen ungeschützten Parameter innerhalb einer gemeinsamen (Standard-)Erweiterung einzufügen.

• Im Falle einer erfolgreichen Ausnutzung dieser Schwachstelle könnte der Angreifer Zugriff auf Systemdaten erlangen oder diese verändern und sogar die Verfügbarkeit des Systems gefährden.
• Dies gefährdet die Vertraulichkeit stark und hat begrenzte Auswirkungen auf Verfügbarkeit und Integrität der Anwendung.
• Die SAP empfiehlt diesen Sicherheitshinweis: 3399691 einzuspielen, wodurch die Option „Ausgewählte Routinen testen" im Report ROIB_QCI_CALL_TEST nicht verfügbar ist und die direkte Ausführung des Funktionsbausteins OIB_QCI_SERVER nicht mehr zulässig/deaktiviert ist.
• Weitere Informationen finden Sie unter dem Hinweis: 3399691.

Es besteht eine weitere als „hoch" eingestufte Schwachstelle bezüglich ungeeigneter Zugriffskontrollen in der SAP Commerce Cloud

Produkt: SAP Commerce Cloud, Version –8.1

Komponente: HY_COM 1905,2005,2105,2011,2205,2211, SOM_CLOUD 2211

• In der SAP Commerce Cloud besteht die Möglichkeit, dass ein gesperrter B2B-Benutzer die Funktion für vergessene Kennwörter ausnutzt, um sein Benutzerkonto trotz Sperrung erneut zu entsperren und Zugang zu erhalten.
• Dies ist speziell relevant, wenn die SAP Commerce Cloud - Composable Storefront als Storefront verwendet wird und die bestehenden Zugriffskontrollen als nicht ausreichend betrachtet werden.
• Dies hat erhebliche Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung sowie der Systemdaten.
• Die in diesem Hinweis: 3394567 gelisteten Patche für SAP Commerce Cloud beheben die Schwachstelle, indem das Kennzeichen loginDisabled nicht in false geändert wird, wenn der B2B-Benutzer während des Kennwortrücksetzungsprozesses als inaktiv gekennzeichnet ist.
• Die SAP empfiehlt die Patche zu installieren, um die Sicherheitslücke zu schließen.
• Mehr dazu finden Sie unter folgendem Hinweis: 3394567.

Eine weitere als „hoch" eingestufte Sicherheitslücke betrifft eine Cross-Site-Scripting-Schwachstelle in der SAP BusinessObjects Business Intelligence Platform

Produkt: BusinessObjects BI Platform, Version: Versions–420, 430

• Die SAP BusinessObjects Business Intelligence Platform weist eine Schwachstelle in Form von gespeichertem Cross-Site-Scripting (XSS) auf, wodurch ein Angreifer unbemerkt infizierte Dokumente in das System hochladen kann.
• Werden diese durch einen anderen Benutzer geöffnet, kann die Integrität der Anwendung stark beeinträchtigt werden.
• Die SAP empfiehlt nur das eingeschränkte Anzeigen agnostischer Dokumente.
• Weitere Informationen zu dieser Sicherheitslücke finden Sie unter dem Hinweis: 3382353.

Eine weitere als „hoch" eingestufte Sicherheitslücke betrifft die Offenlegung von Informationen in SAP GUI for Windows und SAP GUI for Java

Produkt: SAP GUI for Windows and SAP GUI for Java, Versionen: SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758

• Die Anwendungen SAP GUI for Windows und SAP GUI for Java weisen eine Sicherheitslücke auf, durch die ein nicht authentifizierter Angreifer auf eigentlich zugangsbeschränkte und vertrauliche Informationen zugreifen kann.
• Zusätzlich ermöglicht diese Schwachstelle dem nicht authentifizierten Angreifer das Erstellen von Layoutkonfigurationen des ABAP List Viewers.
• Dadurch wird die Integrität und Verfügbarkeit des Systems beeinträchtigt und beispielsweise die Antwortzeiten des AS ABAP erhöht, wodurch Performance Probleme auftreten.
• Die SAP empfiehlt die Korrekturen aus dem Hinweis 3385711 einzuspielen, wodurch sichergestellt wird, dass eine ordnungsgemäße Prüfung für die Authentifizierung des Benutzers vorhanden ist und SAP GUI for Windows und SAP GUI for Java keine Informationen mehr an nicht authentifizierte Angreifer weitergeben.
• Weitere Informationen zu dieser Sicherheitslücke finden Sie unter dem Hinweis: 3385711.

Eine weitere als „hoch" eingestufte Sicherheitslücke betrifft eine fehlende Berechtigungsprüfung in SAP EMARSYS SDK ANDROID

Produkt: SAP EMARSYS SDK ANDROID, Versionen: 3.6.2

• Aufgrund einer fehlenden angemessenen Berechtigungsprüfung im Emarsys SDK für Android besteht die Möglichkeit, dass ein Angreifer mit lokalem Zugriff eine spezifische Aktivität aufrufen und Webseiten und/oder Deep Links ohne Validierung direkt aus der Host-Anwendung heraus weiterleiten kann.
• Im Falle eines erfolgreichen Angriffs könnte ein Angreifer auf beliebige URLs navigieren, einschließlich Deep-Links innerhalb der Anwendung auf dem Gerät.
• Dadurch wird die Integrität und Verfügbarkeit der Daten im System beeinträchtigt.
• Die SAP empfiehlt Emarsys SDK für Android auf die Version 3.6.2. zu updaten.
• Weitere Informationen zu dieser Sicherheitslücke finden Sie unter dem Hinweis: 3406244.

Nähere Informationen zu allen veröffentlichten Sicherheitslücken vom SAP Patch Day Dezember finden Sie hier.

Wenn Sie Unterstützung bei der Bewertung der Sicherheitslücken in Bezug auf Ihre Systeme benötigen, wenden Sie sich gern direkt an Herrn René Studtmann unter Rene.Studtmann@cpro-ips.com.