SAP Basis & Security SAP Patch Day Januar 2023

Die als „Hot News“ veröffentlichten Lücken betreffen dieses Mal folgendes Produkt:

Produkt: SAP Business Planning and Consolidation MS, Versionen -800, 810

Komponente: CPM_BPC_SMS

Durch eine Schwachstelle in der SAP Business Planning and Consolidation MS kann ein Angreifer gezielte Datenbankabfragen durchführen.

• Ein Angreifer kann durch diese Schwachstelle auf Daten aus der Backend-Datenbank zugreifen
• Die SAP empfiehlt das aktuelle Support Package BPC MS 10.1 SP14 einzuspielen (oder höher).

• Mehr dazu finden Sie unter dem Hinweis 3275391

Produkt: SAP BusinessObjects Business Intelligence Platform, Versionen -420, 430

Komponente: ENTERPRISE 420-430

Durch eine Schwachstelle in der SAP-BusinessObjects-Plattform kann ein Angreifer eine beliebige Datei auf dem BusinessObjects-Server auf Betriebssystemebene hochladen.

• Ein Angreifer kann durch schädliche Dateien die Kontrolle über das gesamte System übernehmen, was sich auf die Verfügbarkeit und Integrität des Systems auswirkt.
• Die SAP empfiehlt die aktuellen Support Packages und Patches einzuspielen.

• Den Workaround mehr dazu finden Sie unter dem Hinweis 3262810

Eine weitere Hot News Schwachstelle betrifft die Zugriffskontrolle in SAP NetWeaver AS Java

Produkt: MESSAGING 7.50

Komponente: MESSAGING SYSTEM SERVICE 7.50 SP017 – SP027

• Durch eine falsche Zugriffskontrolle kann ein Angreifer sich über das Netzwerk an eine offene Schnittstelle anhängen, die über JNDI von der User Defined Search (UDS) von SAP NetWeaver Process Integration (PI) bereitgestellt wird, und ein offenes Benennungs- und Verzeichnis-API verwenden, um auf Services zuzugreifen, mit denen unberechtigte Vorgänge ausgeführt werden können, die sich auf Benutzer und Daten im gesamten System auswirken.
• Der Angreifer kann dadurch vollen Lesezugriff auf Benutzerdaten erhalten sowie beschränkte Änderungen an Benutzerdaten vornehmen welche die Performance und Integrität des Systems negativ beeinträchtigen.
• Durch eine in der Korrektur enthaltenen Berechtigungsprüfung in allen öffentlichen Methoden sowie einer zusätzlichen Prüfung aller Klauseln konnte die Schwachstelle behoben werden.
• Die SAP empfiehlt die aktuellen Support Packages einzuspielen um diese Schwachstelle zu schließen.
• Mehr dazu finden Sie unter dem Hinweis 3273480

Eine weitere Hot News Schwachstelle betrifft die SAP Business Objects-Intelligence Plattform

Produkt: SAP Enterprise, Versionen -420, -430

Komponente: SBOP BI PLATFORM SERVERS 4.2 SP009, SBOP BI PLATFORM SERVERS 4.3 SP002 – SP003

• In einigen Workflows der SAP-BusinessObjects-BI-Plattform (Central Management Console und BI-Launchpad) kann ein Angreifer mit wenigen Berechtigungen ein serialisiertes Objekt in den Parametern abfangen und durch ein bösartiges serialisiertes Objekt ersetzen, was zur Deserialisierung nicht vertrauenswürdiger Daten führt, was die Vertraulichkeit, Integrität und Verfügbarkeit des Systems stark gefährden würde.
• Die SAP empfiehlt die aktuellen Support Packages und Patches einzuspielen.

• Den Workaround mehr dazu finden Sie unter dem Hinweis 3243924

Eine weitere Hot News Schwachstelle betrifft SAP NetWeaver Process Integration

Produkt: SAP NetWeaver Process Integration, Versionen –7.50

Komponente: MESSAGING SYSTEM SERVICE 7.50 SP020 – SP27

• Durch eine falsche Zugriffskontrolle in SAP NetWeaver Process Integration (Messaging-System) kann ein Angreifer sich an eine offene Schnittstelle anhängen welche über JNDI vom Messaging System von SAP NetWeaver Process Integration (PI) bereitgestellt wird.
• Ein Angreifer kann ein offenes Namens- und Verzeichnis-API verwenden, um auf Services zuzugreifen, mit denen er unberechtigte Operationen ausführen kann.
• Die Schwachstelle wirkt sich auf lokale Benutzer und Daten aus, was erhebliche Auswirkungen auf die Vertraulichkeit sowie die Verfügbarkeit und auch begrenzte Auswirkungen auf die Integrität der Anwendung hat.
• Die SAP Empfiehlt die aktuellen Support Packages einzuspielen.
• Mehr dazu finden Sie unter dem Hinweis: 3267780

Eine weitere Schwachstelle der Kategorie ,,Hot News‘‘ ist eine falsche Zugriffskontrolle in SAP NetWeaver AS for Java

Produkt: SAP NetWeaver AS for Java, Version –7.50

• Angreifer können sich durch diese Sicherheitslücke in der Zugriffskontrolle an eine offene Schnittstelle anhängen, und ein offenes Namens- und Verzeichnis-API verwenden, um auf Services zuzugreifen, mit denen unberechtigte Operationen ausgeführt werden können, die Benutzer und Daten im aktuellen System betreffen.
• Bei erfolgreicher Ausnutzung kann der Angreifer vollen Lesezugriff auf Benutzerdaten erlangen, Änderungen an Benutzerdaten vornehmen und die Verfügbarkeit bestimmter Services im System verhindern.
• Die Sap empfiehlt die aktuelle Korrekturanleitung einzuspielen.
• Mehr dazu finden Sie unter dem Hinweis 3268093

Es besteht eine Schwachstelle im Capture-Replay in SAP NetWeaver AS für ABAP und ABAP-Plattform

Produkt: SAP NetWeaver ABAP Server and ABAP Platform, Versionen -SAP_BASIS 700, 701, 702,710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, KERNEL 7.22, 7.53, 7.77, 7.81, 7.85, 7.89, KRNL64UC 7.22, 7.22EXT, 7.53, KRNL64NUC 7.22, 7.22EXT

• SAP NetWeaver ABAP Server und die ABAP-Plattform legen Informationen zur Systemidentität in einem uneindeutigen Format an.
• Dies kann von böswilligen Benutzern ausgenutzt werden, um unrechtmäßigen Zugriff auf das System zu erhalten.
• Die Sap empfiehlt die aktuelle Korrekturanleitung einzuspielen.
• Durch Einspielen der Korrektur wird die Systemidentifikation eindeutig, und die Systemidentifikation wird in Trusted-Trusting-Kommunikationsszenarien korrekt verwendet und ausgewertet. Hierdurch wird die Sicherheitslücke geschlossen.
• Mehr dazu finden Sie unter dem Hinweis 3089413

Nähere Informationen zu allen veröffentlichten Sicherheitslücken vom SAP Patch Day Januar finden Sie hier.

Wenn Sie Unterstützung bei der Bewertung der Sicherheitslücken in Bezug auf Ihre Systeme benötigen, wenden Sie sich gern direkt an Herrn René Studtmann unter Rene.Studtmann@cpro-ips.com.