Die als „Hot News“ veröffentlichen Lücken betreffen dieses Mal folgende Produkte:
SAP NetWeaver Applikations Server Java
- In der P2P-Cluster-Kommunikation (7.11, 7.20, 7.30, 7.40, 7.50) werden durch einen Implementierungsfehler Verbindungen akzeptiert, die von außerhalb des Clusters oder sogar von außerhalb des Netzwerksegments kommen. Dadurch kann ein Angreifer auf Systemadministrationsfunktionen zugreifen und das System vollständig herunterfahren. Mit Implementierung der Korrektur aus Hinweis 2974774 werden zusätzliche Sicherheitsmaßnahmen hinzugefügt, die die Sicherheitslücke schließen.
SAP Business Objects Business Intelligence Plattform
- Durch eine Schwachstelle in Crystal Reports (4.1, 4.2, 4.3) werden hochgeladene XML-Entitäten nicht ausreichend geprüft, dadurch können Angreifer die über Basisberechtigungen verfügen beliebige XML-Entitäten einschleusen, die zur Offenlegung interner Daten, Offenlegung interner Verzeichnisse, Server-Side Request Forgery (SSRF) und zum Denial-of-Service (DoS) führen. Zur Schließung dieser Schwachstelle muss das in Hinweis 2989075 referenzierte Support Package eingespielt werden.
SAP Business Warehouse und SAP BW4HANA
- In SAP BW Master Data Management (700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 782) und SAP BW/4HANA (100, 200) können Angreifer, eine gezielte Anforderung senden, die ohne Benutzerinteraktion Code Generieren und Ausführen kann. Mit einer solchen Anforderung können Betriebssystembefehle ausgeführt werden, ohne über die erforderlichen Berechtigungen zu verfügen. Um diese Schwachstelle zu Schließen kann die in Hinweis 2983367 angefügte Korrekturanleitung oder das entsprechende Support Package eingespielt werden.
SAP AS ABAP und S/4 HANA (DMIS)
- Zu der im Patch Day November behandelten Code-Injection-Schwachstelle wurde das Release S4CORE 104 Support Package SP00 hinzugefügt. Weitere Informationen finden Sie im Artikel zum Patch Day November hier.
Weitere Sicherheitslücken mit der Einstufung High betreffen außerdem folgende Produkte:
SAP Solution Manager 7.2 SP03 bis SP11 mit implementiertem LM-SERVICE 7.2
- Zum einen wird durch ein schädliches Skript, dass von einem authentifizierten Benutzer implementiert werden kann, eine Schwachstelle im Pfad-Traversal ausgenutzt. Das Skript kann Elemente des Dateissystems vollständig kompromittieren und somit vertrauliche Informationen offenlegen. Außerdem können bestimmte Services nicht mehr aktiv sein, was die Verfügbarkeit beeinträchtigt.
- Des Weiteren gibt es fehlerhafte Berechtigungsprüfungen, durch die daraus resultierende unzureichende Zugriffskontrolle kann ein sich als normaler Benutzer ausgebender Angreifer auf Operationen zugreifen, die eigentlich auf Administratoren beschränkt sind. Dem Angreifer ist es mit den Operationen möglich, schädliche Skripte im User-Experience-Monitoring zu Implementieren. Diese Schwachstellen werden mit der in Note 2983204 aufgeführten Korrekturanleitung behoben.
SAP NetWeaver AS ABAP und SAP S4HANA
- In SAP Landscape Transformation mit SAP NetWeaver AS ABAP (2011_1_620, 2011_1_640, 2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731, 2011_1_752, 2020) und SAP S4 HANA (101, 102, 103, 104, 105) gibt es ein Problem mit der Zugriffsbeschränkung auf einen RFC-Funktionsbaustein, so ist es einem Benutzer möglich, durch das ausführen des RFC-Funktionsbausteines an sensible interne Informationen zu gelangen, oder anfällige SAP-Systeme anzugreifen. Durch einspielen der Korrekturanleitung aus Hinweis 2993132 wird eine ordnungsgemäße Überprüfung der Zugriffsbeschränkung erzwungen und somit die Sicherheitslücke geschlossen.
Nähere Informationen zu allen veröffentlichten Sicherheitslücken vom SAP Patch Day Dezember finden Sie hier.
Wenn Sie Unterstützung bei der Bewertung der Sicherheitslücken in Bezug auf Ihre Systeme benötigen, wenden Sie sich gern direkt an Herrn René Studtmann unter Rene.Studtmann@cpro-ips.com.