Inhaltsverzeichnis
Die als „Hot News“ veröffentlichten Lücken betreffen dieses Mal folgende Produkte:
Zentraler Sicherheitshinweis zur Schwachstelle bei der Remote-Code-Ausführung im Kontext der Komponente Apache Log4j
Log4j ist bereits seit Dezember und Januar ein großes Thema. Zur weiteren Behebung der Schwachstelle Log4J wurde auch im Februar ein Hinweis rausgebracht welcher die Sicherheitslücke schließen soll. SAPNote: 3139893. Wir empfehlen es jedoch die Patches über den Sammelhinweis: einzuspielen. https://launchpad.support.sap.com/#/notes/3131047
Es besteht eine Schwachstelle für SAP Netweaver Application Server AVAP, SAP APPlications Server JAVA, ABAP Plattform, SAP Content Server 7.53 und SAP Web Dispatcher für Request-Schmuggel und Request-Verkettung. Also alle NetWeaver-Systeme, mit Webzugriff. SAP Note: 3123396. Die Schwachstelle besteht, wenn HTTP-Clients (wie Browser oder andere Systeme) auf den SAP-Anwendungsserver oder SAP Web Dispatcher über ein HTTP-Gateway wie SAP Web Dispatcher oder einen Drittanbieter-Load-Balancer oder Reverse-Proxy auf das Sap System zugreifen, welches das TLS Transport Layer Security Protokoll beenden. Dadurch besteht die Gefahr, dass ein bereits genutztes Protokoll aus einer bereits erfolgreichen Anfrage missbraucht, und für eine missbräuchliche Anfrage erneut genutzt wird.
Um die Sicherheitslücke zu schließen sollte ein Kernel Update eingespielt werden.
Produkt: SAP Solution Manager
- Aufgrund einer fehlender Aufgabentrennung im SAP Solution Manager, ist ein Angreifer mit Administratorrechten in der Lage, Dateien zu durchsuchen und Code auszuführen, der auf allen verbundenen Diagnostics-Agents über das Netzwerk ausgeführt werden kann. Bei erfolgreicher Ausnutzung kann der Angreifer sowohl die Integrität des Systems, als auch die Verfügbarkeit des Systems gefährden da dieser Admin Anwender vollzugriff auf die gesamte SAP Landschaft hat.
- Um diese Schwachstelle zu beheben empfiehlt die SAP die Sicherheitshinweise: 3145008 und 3137764 einzuspielen. (Hierbei handelt es sich um einen Workaround, keinen finalen Fix.)
Weitere Notes mit der Einstufung High sind:
Produkt: SAP S/4HANA, Versionen - 100, 101, 102, 103, 104, 105, 106
Mehrere Sicherheitslücken in der Anwendung F0743 Create Single Payment von SAP S/4HANA
- Dieser SAP-Sicherheitshinweis behandelt die verschiedenen Schwachstellen in SAP S/4HANA. Die Anwendung F0743 Create Single Payment von SAP S/4HANA prüft hoch- oder heruntergeladene Dateien nicht. Dieser SAP-Sicherheitshinweis implementiert die Viren-Scanner-Schnittstelle (VSI), die eine Datei beim Hoch- und Herunterladen prüft.
- Die Behebung der Schwachstelle erfolgt mit der Umsetzung der Anleitung wie in Hinweis 3114134 beschrieben.
Produkt: SAP NetWeaver AS ABAP, Versions - 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755, 756
Code-Injection-Schwachstelle in Utility-Klasse für SAP NetWeaver AS ABAP
- Diese Schwachstelle aus dem Dezember hat eine Aktualisierung im Bereich von betroffenen Releases bekommen.
- Zwei Methoden einer Utility-Klasse im SAP NetWeaver AS ABAP ermöglichen es einem Angreifer mit hohen Rechten und direktem Zugriff auf das SAP-System, bei der Ausführung einer Transaktion (SE24 - Class Builder) Code einzuschleusen.
- Dies könnte die Ausführung beliebiger Befehle auf dem Betriebssystem ermöglichen, was die Vertraulichkeit, Integrität und Verfügbarkeit des Systems stark beeinträchtigen könnte.
- Implementieren Sie den Hinweis 3123196 oder passen Sie die Berechtigungsobjekte an, wie in Hinweis 3123196 beschrieben.
Nähere Informationen zu allen veröffentlichten Sicherheitslücken vom SAP Patch Day Januar finden Sie hier.
Wenn Sie Unterstützung bei der Bewertung der Sicherheitslücken in Bezug auf Ihre Systeme benötigen, wenden Sie sich gerne direkt an Herrn René Studtmann unter Rene.Studtmann@cpro-ips.com.
