SAP Basis & Security SAP Patch Day Februar 2024

Die als „Hot News“ veröffentlichten Sicherheitslücken betreffen dieses Mal folgende Produkte:

Produkt: SAP Business Client, Versionen 6.5, 7.0, 7.70

Es besteht eine Sicherheitslücke im SAP Business Client, wodurch beim Anzeigen von Webseiten im SAP Business Client mittels des Open-Source-Browser-Controls verschiedene Schwachstellen auftreten.

• Wenn diese Schwachstelle erfolgreich ausgenutzt wird, können Systeminformationen offengelegt werden, was die Integrität und Vertraulichkeit der Daten bedroht und im schlimmsten Fall die Verfügbarkeit des Systems gefährdet.
• Die SAP empfiehlt für den SAP Business Client den stabilsten und aktuellsten Release des Chromium- Browser-Controls zu installieren.
• Mehr dazu finden Sie unter dem Hinweis: 2622660.

Eine weitere als „Hot News" eingestufte Sicherheitslücke betrifft das Einfügen von Codes in SAP ABA (Anwendungsbasis)

Produkt: SAP ABA (Application Basis), Versionen 700, 701, 702, 731, 740, 750, 751, 752, 75C, 75I

Durch eine Schwachstelle in einer Schnittstelle kann ein Angreifer, der sich als Benutzer mit Remote-Ausführungsberechtigungen authentifiziert, diese ausnutzen. Dadurch ist er in der Lage, Anwendungsfunktionen aufzurufen und Aktionen auszuführen, für die er normalerweise keine Berechtigung hätte.

• Abhängig von der ausgeführten Funktion kann der Angreifer beliebige Benutzer-/Geschäftsdaten lesen oder ändern und das gesamte System unzugänglich machen.
• Die SAP empfiehlt, das aktuelle Support Package oder die Korrekturanleitung einzuspielen, wodurch eine Secure-by-Default-Konfiguration implementiert wird.
• Die Lösung implementiert eine Secure-by-Default-Konfiguration.
• Dies umfasst jedoch auch die Anpassung der Konfiguration, wenn Sie tatsächlich die Remote-Fähigkeit der Komponente verwenden.
• Mehr dazu finden Sie unter dem Hinweis: 3420923.

Eine weitere als „Hot News" eingestufte Sicherheitslücke betrifft eine Cross-Site-Scripting-Schwachstelle in SAP NetWeaver AS Java (Benutzerverwaltungsanwendung)

Produkt: SAP NetWeaver AS Java (User Admin Application), Version - 7.50

Die Benutzerverwaltungsanwendung von SAP NetWeaver AS for Java validiert die eingehenden URL-Parameter unzureichend und kodiert sie falsch, bevor sie in die Umleitungs-URL aufgenommen werden. Dadurch entsteht eine Cross-Site-Scripting-Schwachstelle (XSS), die starke Auswirkungen auf die Vertraulichkeit und leichte Auswirkungen auf die Integrität und Verfügbarkeit des Systems hat.

• Wenn diese Schwachstelle erfolgreich ausgenutzt wird, kann ein nicht authentifizierter Angreifer innerhalb der Anwendung auf Daten des Systems zugreifen und die Verfügbarkeit des Systems beeinträchtigen.
• Die SAP empfiehlt die Korrektur gemäß den Abschnitten „Gültigkeit" und „Support-Package-Patches" einzuspielen.
• Mehr dazu finden Sie unter dem Hinweis: 3417627.

Es besteht eine weitere Schwachstelle für Cross-Site Scripting (XSS) in SAP CRM (WebClient UI)

Produkt: SAP CRM WebClient UI, Versionen: S4FND 102, S4FND 103, S4FND 104, S4FND 105, S4FND 106, S4FND 107, S4FND 108, WEBCUIF 700, WEBCUIF 701, WEBCUIF 730, WEBCUIF 731, WEBCUIF 746, WEBCUIF 747, WEBCUIF 748, WEBCUIF 800, WEBCUIF 801

Durch eine unzureichende Kodierung von benutzergesteuerten Eingaben innerhalb der Druckvorschau-Option im SAP-CRM-WebClient-UI besteht eine Cross-Site-Scripting-Schwachstelle (XSS).

• Dadurch kann ein Angreifer mit geringen Rechten nach erfolgreicher Ausnutzung die Vertraulichkeit und Integrität der Anwendungsdaten bis zu einem gewissen Grad beeinträchtigen, was sich auf die Integrität und Verfügbarkeit der Daten auswirken kann.
• Die SAP empfiehlt, die Korrekturanleitung einzuspielen oder ein Upgrade auf die im unten genannten SAP-Sicherheitshinweis referenzierten Support Packages durchzuführen.
• Mehr dazu finden Sie unter folgendem Hinweis: 341087

Eine weitere als „hoch" eingestufte Sicherheitslücke betrifft eine Code-Injection-Schwachstelle in SAP-IDES-Systemen

Produkt: IDES Systems, Versionen:  Alle Versionen

SAP-IDES-ECC-Systeme enthalten eine Schwachstelle im Code, durch die ein Benutzer einen beliebigen Programmcode im System ausführen kann.

• Dadurch kann ein Angreifer durch die Ausführung von schädlichem Code das Verhalten des Systems steuern, mit dem er seine Berechtigungen ausweiten kann und die Vertraulichkeit und Integrität des Systems gefährdet.
• Die SAP empfiehlt, den beigefügten Transportauftrag in die IDES-ECC-Systeme einzuspielen. In diesem wurde der anfällige Quelltext über die im Transport enthaltenen Änderungen gelöscht.
• Darüber hinaus empfiehlt die SAP dringend, das IDES-Demosystem nicht im selben Netzwerk wie Ihre Produktivumgebung zu installieren.
• Es wird empfohlen, die Demo-Umgebung immer von Ihrer Produktivumgebung zu trennen.
• Als Workaround wird empfohlen, ein starkes Berechtigungskonzept für das IDES System zu nutzen.
• Weitere Informationen zu dieser Sicherheitslücke finden Sie unter dem Hinweis: 3421659.

Eine weitere als „hoch" eingestufte Sicherheitslücke betrifft eine falsche Zertifikatsvalidierung in SAP Cloud Connector

Produkt: SAP Cloud Connector, Versionen: Version -2.0

• Aufgrund einer falschen Validierung des Zertifikats in SAP Cloud Connector kann der Angreifer die echten Server imitieren, um mit SCC zu interagieren, was zu einer Unterbrechung der gegenseitigen Authentifizierung führt.
• Mittels des falschen Zertifikats im SAP Cloud Connector kann der Angreifer die Anfrage zum Anzeigen/Ändern sensibler Informationen abfangen.
• Die Schwachstelle hat keine Auswirkungen auf die Verfügbarkeit des Systems. Dennoch sollte sie behoben werden, um die Sicherheit der Daten zu gewährleisten.
• Die SAP empfiehlt, die Cloud Connector Version zu aktualisieren. Die Korrektur, die diese Sicherheitslücke schließt, steht ab Version SAP Cloud Connector 2.16.2 zur Verfügung.
• Weitere Informationen zu dieser Sicherheitslücke finden Sie unter dem Hinweis: 3424610.

Eine weitere als „hoch" eingestufte Sicherheitslücke betrifft die Offenlegung von Informationen in SAP NetWeaver Application Server ABAP

Produkt: SAP GUI for Windows and SAP GUI for Java, Versionen: SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758

Durch eine in SAP NetWeaver Application Server ABAP verfügbare Schwachstelle, kann ein nicht authentifizierter Angreifer auf Informationen zugreifen, die im Normalfall zugangsbeschränkt und vertraulich sein sollten.

• Diese Schwachstelle ermöglicht es dem nicht authentifizierten Angreifer, Layout-Konfigurationen des ABAP List Viewers anzulegen, was sich leicht auf die Integrität und Verfügbarkeit auswirkt, indem sich z. B. die Antwortzeiten des AS ABAP Systems erhöhen.
• Die Schwachstelle stammt aus einer Funktion, die für SAP GUI for HTML entwickelt wurde, aber nun auch für SAP GUI for Windows und SAP GUI for Java wiederverwendet wird.
• Die SAP empfiehlt, die ABAP-Korrektur aus diesem SAP-Hinweis einzuspielen.
• Hierdurch wird eine ordnungsgemäße Prüfung für die Authentifizierung des Benutzers implementiert, sodass SAP GUI for Windows und SAP GUI for Java keine Informationen mehr an nicht authentifizierte Angreifer weitergeben kann.
• Die Korrektur finden Sie unter folgendem Hinweis: 3385711.

Nähere Informationen zu allen veröffentlichten Sicherheitslücken vom SAP Patch Day Februar finden Sie hier.

Wenn Sie Unterstützung bei der Bewertung der Sicherheitslücken in Bezug auf Ihre Systeme benötigen, wenden Sie sich gern direkt an Herrn René Studtmann unter Rene.Studtmann@cpro-ips.com.