Die als „Hot News eingestufte“ veröffentlichte Sicherheitslücke betrifft dieses Mal folgendes Produkt:
Produkt: AP NetWeaver AS for JAVA (Adobe Document Services), Versionen: ADSSSAP 7.50
- Aufgrund einer Schwachstelle im Adobe Document Service erhält ein Angreifer mit Administrator-Rechten die Möglichkeit, durch eine anfällige Webanwendung gezielte Anfragen an interne, durch Firewalls geschützte Systeme zu senden, welche extern normalerweise nicht erreichbar sind.
- Ein authentifizierter Administrator kann über den Web-Service benutzerdefinierte PDF-Schriftartdateien hoch- oder herunterladen. Durch die Sicherheitslücke in der Upload- und Download-Funktion kann der Angreifer beliebige Dateien von dem Server herunterladen und diese lesen, ohne die Integrität oder Verfügbarkeit zu beeinträchtigen.
- Die SAP empfiehlt, Adobe Document Service zu updaten.
- Mehr dazu finden Sie unter den Hinweisen: 3536965, 3544926
Eine als „hoch" eingestufte Schwachstelle betrifft eine fehlende Berechtigungsprüfung in SAP PDCE
Produkt: SAP Web Dispatcher, Versionen: WEBDISP 7.77, 7.89, 7.93, KERNEL 7.77, 7.89, 7.93, 9.12, 9.13
- Aufgrund der Cross-Site-Scripting-Schwachstelle kann ein Angreifer ohne Authentifizierung einen schädlichen Link erstellen und öffentlich zugänglich machen. Wenn ein authentifizierter Benutzer diesen Link anklickt, nutzt die Webseite die Eingabedaten zur Generierung von Inhalten. Dies kann dem Angreifer die Möglichkeit geben, im Browser des Benutzers schädlichen Code auszuführen (XXS) oder Daten an einen anderen Server zu senden (SSRF).
- Durch diese Schwachstelle könnte der Angreifer beliebigen Code auf dem Server ausführen, was die Vertraulichkeit, Integrität und Verfügbarkeit des Systems vollständig bedroht.
- Die Schwachstelle erfordert, dass das Opfer sich über den Browser in die Administrations-UI einloggt. Systeme ohne berechtigte Benutzer für die Administrations-UI sind nicht gefährdet.
- Die SAP empfiehlt, die im vorliegenden SAP-Sicherheitshinweis 3520281 referenzierten Patche und Support Packages einzuspielen.
- Mehr dazu finden Sie unter dem Hinweis: 3520281
Eine weitere als „hoch" eingestufte Schwachstelle betrifft Offenlegung von Informationen über Remote Function Call (RFC) in SAP NetWeaver Application Server ABAP
Produkt: SAP NetWeaver Application Server ABAP, Versionen: KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93
- Unter bestimmten Bedingungen kann der SAP NetWeaver Application Server ABAP einem authentifizierten Angreifer ermöglichen, Remote-Function-Call-Requests (RFC-Requests) an eigentlich eingeschränkte Destinationen zu senden. Dabei können Anmeldeinformationen für einen Remote-Service preisgegeben werden. Diese Informationen lassen sich weiter ausnutzen, um den Remote-Service vollständig zu kompromittieren. Dies kann erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der betroffenen Anwendung haben.
- Die Schwachstelle tritt aufgrund einer falschen Zugriffskontrolle und einer unzureichenden Einschränkung für RFC-Destinationen auf.
- Die SAP empfiehlt, den neuesten SP-Stack-Kernel einzuspielen, wenn er die Korrektur enthält (Patch-Level der Korrektur ist kleiner oder gleich dem Patch-Level des neuesten SP-Stack-Kernels).
- Mehr dazu finden Sie unter den Hinweisen: 3469791, 2083594
Eine weitere als „hoch" eingestufte Schwachstelle betrifft eine NULL-Pointer-Dereferenz-Schwachstelle in SAP NetWeaver Application Server für ABAP und ABAP-Plattform
Produkt: SAP NetWeaver Application Server ABAP, Versionen: KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93
- Aufgrund einer Schwachstelle in SAP NetWeaver Application Server für ABAP und ABAP-Plattform kann ein nicht-authentifizierter Angreifer auf SAP NetWeaver Application Server für ABAP und ABAP-Plattform einen manipulierten HTTP-Request senden, welcher eine NullPointer-Dereferenz im Kernel auslöst. Diese Sicherheitslücke kann das gesamte System beeinflussen und zu einer Nicht-Verfügbarkeit führen.
- Die SAP empfiehlt, den neuesten SP-Stack-Kernel einzuspielen, wenn er die Korrektur enthält (Patch-Level der Korrektur ist kleiner oder gleich dem Patch-Level des neuesten SP-Stack-Kernels).
- Die Korrektur wird erstmals mit dem im Abschnitt „Support-Package-Patches“ dieses SAP-Hinweises: 3504390 angegebenen Kernel-Patch-Level bereitgestellt und ist in allen nachfolgenden Kernel-Patch-Leveln ebenfalls enthalten. Eine Liste zu den aktuellen SP-Kernel-Versionen finden Sie unter diesem Hinweis: 2083594
- Mehr dazu finden Sie unter den Hinweisen: 3469791, 2083594
Eine weitere als „hoch" eingestufte Schwachstelle betrifft eine serverseitige Request-Fälschung in SAP NetWeaver Administrator (Systemübersicht)
Produkt: SAP NetWeaver Administrator (System Overview), Versionen: LM-CORE 7.50
- Da durch ein veraltetes angreifbares Servlet (anfälliger Code) die zusätzlichen Authentifizierungsprüfungen für die Sicherheitsrollen der Benutzer fehlten, bestand hier eine Sicherheitslücke in SAP NetWeaver Administrator (Systemübersicht)
- Diese Sicherheitslücke ermöglicht es einem authentifizierten Angreifer, durch speziell gestaltete HTTP-Requests zugängliche HTTP-Endpunkte im internen Netzwerk aufzulisten.
- Bei erfolgreicher Ausnutzung kann dies zu einer serverseitigen Request-Fälschung (SSRF) führen, welche geringe Auswirkungen auf die Integrität und Vertraulichkeit der Daten haben kann, aber dennoch keine Auswirkungen auf die Verfügbarkeit der Anwendung hat.
- Die SAP hat das angreifbare Servlet entfernt, sodass es keinen anfälligen Einstiegspunkt für den Angriff gibt.
- Die SAP empfiehlt, die Support Packages und Patches einzuspielen, auf die in diesem SAP-Sicherheitshinweis verwiesen wird: 3542543.
Nähere Informationen zu allen veröffentlichten Sicherheitslücken vom SAP Patch Day Dezember finden Sie hier.
Wenn Sie Unterstützung bei der Bewertung der Sicherheitslücken in Bezug auf Ihre Systeme benötigen, wenden Sie sich gern direkt an René Studtmann.