SAP Basis & Security SAP Patch Day Januar 2024

Die als „Hot News“ veröffentlichten Sicherheitslücken betreffen dieses Mal folgende Produkte:

Produkt: Library-@sap/xssec, Version Library-@sap/approuter, Version –14.4.2

Unter spezifischen Szenarien könnten node.js-Anwendungen, die mithilfe der genannten Entwicklungsumgebungen erstellt wurden und für die Bereitstellung in der SAP BTP- oder Cloud-Foundry-Umgebung bestimmt sind, aufgrund der CVE-2023-49583 Sicherheitsanfälligkeit gefährdet sein.

• Von diesem Problem betroffen sind Anwendungen, die unter Verwendung der Bibliotheksversionen @sap/xssec vor 3.6.0 und @sap/approuter vor 14.4.2 entwickelt wurden.
• Die SAP empfiehlt die node.js-Anwendungsabhängigkeiten mit den neuesten Versionen der Bibliotheken @sap/approuter und @sap/xssec zu aktualisieren.
• Mehr dazu finden Sie unter dem Hinweis: 3412456.

Eine weitere als „Hot News" eingestufte Sicherheitslücke betrifft eine Rechteausweitung in SAP Edge Integration Cell

Produkt: SAP Edge Integration Cell, Versionen >= 8.9.13 

Unter spezifischen Voraussetzungen ermöglicht die SAP Edge Integration Cell, die auf Integrationsbibliotheken und Programmierinfrastrukturen von SAP BTP Security Services basiert, eine Rechteausweitung aufgrund von CVE-2023-49583 und CVE-2023-50422. Die Integrationsbibliotheken und Programmierinfrastrukturen von SAP BTP Security Services, die die oben genannten Bibliotheken einsetzen, können unter bestimmten Umständen eine Ausweitung von Berechtigungen ermöglichen.

• Wenn diese Schwachstelle erfolgreich ausgenutzt wird, kann ein nicht authentifizierter Angreifer uneingeschränkte Berechtigungen innerhalb der Anwendung erlangen.
• Die SAP hat das Problem in Version 8.9.13 von SAP Edge Integration Cell behoben.
• Aktualisieren Sie daher Ihre Edge Integration Cell-Lösung auf die neueste Version.
• Mehr dazu finden Sie unter dem Hinweis: 3413475.

Eine weitere als „Hot News" eingestufte Sicherheitslücke betrifft (wie schon im letzten Monat Dezember) die Ausweitung von Berechtigungen innerhalb der SAP Business Technology Platform (BTP) Security Services Integration Libraries

Betroffene Libraries: Library-@sap/xssec Versionen –< 3.6.0, cloud-security-services-integration-library, Versionen –< 2.17.0 bis 3.0.0 - 3.3.0, sap-xssec Versionen < 4.1.0, cloud-security-client-go Versionen: < 0.17.0

Betroffene Programmierinfrastrukturversionen: Cloud Application Programming Model (CAP) JAVA V1 Versionen < 1.34.8, Cloud Application Programming Model (CAP) JAVA V2 Versionen < 2.4.1, SAP Java Buildpack Versionen < 1.81.1, SAP Cloud SDK für Java Versionen < 4.28.0, SAP Cloud SDK für Node.js Versionen < 3.9.0, Anwendungsrouter Versionen < 14.4.3.

Die Integrationsbibliotheken und Programmierinfrastrukturen von SAP BTP Security Services, welche die oben genannten Bibliotheken einsetzen, können unter bestimmten Umständen eine Ausweitung von Berechtigungen ermöglichen.

• Wenn diese Schwachstelle erfolgreich ausgenutzt wird, kann ein nicht authentifizierter Angreifer innerhalb der Anwendung beliebige Berechtigungen erlangen.
• Die SAP hat unter dem Hinweis 3411067 stabile Patches unter dem Punkt „Lösung" veröffentlicht.
• Die SAP empfiehlt die empfohlenen gepatchten Versionen einzuspielen und Tests mit der Kundenanwendung durchzuführen.
• Mehr dazu finden Sie unter dem Hinweis: 3411067.

Es besteht eine weitere Schwachstelle für Code-Injection im SAP Application Interface Framework (File-Adapter)

Produkt: SAP Application Interface Framework (File Adapter), Version –702

Komponente: AIF 702

Mit dem Datei-Adapter im SAP Application Interface Framework kann ein hochberechtigter Benutzer mithilfe eines Funktionsbausteins verschiedene Schichten durchlaufen und Betriebssystembefehle direkt ausführen.

• Dadurch kann der Benutzer das Verhalten der Anwendung steuern.
• Das hat direkte Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung.
• Dieses Problem tritt nur in den niedrigeren Versionen von Application Interface Framework 3.0 auf.
• Die SAP empfiehlt die beigefügte Korrekturanleitung oder das entsprechende Support Package einzuspielen.
• Mehr dazu finden Sie unter folgendem Hinweis: 3411869.

Eine weitere als „hoch" eingestufte Sicherheitslücke betrifft eine Denial-of-Service-Schwachstelle (DOS) in SAP Web Dispatcher, SAP NetWeaver Application Server ABAP und der ABAP-Plattform

Produkt: SAP Web Dispatcher, Versionen–WEBDISP 7.53, WEBDISP 7.54, WEBDISP 7.77, WEBDISP 7.85, WEBDISP 7.89, WEBDISP 7.90, WEBDISP 7.94, WEBDISP 7.95 Produkt: SAP NetWeaver AS ABAP and ABAP Platform, Versionen- KRNL64UC 7.53, KERNEL 7.53, KERNEL 7.77, KERNEL 7.85, KERNEL 7.89, KERNEL 7.54, KERNEL 7.94, KERNEL 7.93, KERNEL 7.95

• SAP Web Dispatcher, SAP NetWeaver Application Server ABAP und die ABAP-Plattform sind anfällig für einen DOS-Angriff durch nicht authentifizierte Benutzer mittels einer großen Anzahl von HTTP/2-Anfragen.
• Werden diese HTTP/2-Anfragen in einer starken Frequenz gesendet, kann dies zu einem Speicherüberlauf führen und die Anwendungsverfügbarkeit wird stark beeinträchtigen, ohne die Vertraulichkeit oder Integrität der Anwendung zu beeinflussen.
• Die SAP empfiehlt eine Aktualisierung der Komponenten: SAP NetWeaver Application Server ABAP, SAP Web Dispatcher.
• Weitere Informationen zu dieser Sicherheitslücke finden Sie unter dem Hinweis: 3389917.

Eine weitere als „hoch" eingestufte Sicherheitslücke betrifft die Offenlegung von Informationen in der Microsoft Edge-Browsererweiterung (SAP GUI Connector für Microsoft Edge)

Produkt: Microsoft Edge browser extension (SAP GUI connector for Microsoft Edge), Versionen: Version -1.0

Microsoft-Edge-Browsererweiterung (SAP GUI Connector für Microsoft Edge) enthält eine Sicherheitslücke, wodurch ein Angreifer auf hochsensible Informationen zuzugreifen kann, die eigentlich zugangsbeschränkt wären. Dies hat große Auswirkungen auf die Vertraulichkeit des Systems.

• Durch die SAP wurden zusätzliche Bedingungen hinzugefügt, um sicherzustellen, dass die Header nur zu bestimmten Anfrage-URLs hinzugefügt wurden. Der Header-Bereinigungscode wurde verfeinert.
• Die SAP empfiehlt die Version 3.0 des „SAP GUI Connector für Microsoft Edge" aus dem Microsoft Add-On Store herunterzuladen und zu installieren.
• Weitere Informationen zu dieser Sicherheitslücke finden Sie unter dem Hinweis: 3386378.

Eine weitere als „hoch" eingestufte Sicherheitslücke betrifft eine falsche Berechtigungsprüfung in SAP Landscape Transformation Replication Server

Produkt: SAP LT Replication Server, Versionen: S4CORE 103, S4CORE 104, S4CORE 105, S4CORE 106, S4CORE 107, S4CORE 108

Der SAP Landscape Transformation Replication Server führt weiterhin keine angemessenen Berechtigungsprüfungen durch.

• Wenn diese Schwachstelle erfolgreich ausgenutzt wird, kann ein nicht authentifizierter Angreifer innerhalb der Anwendung beliebige Berechtigungen erlangen.
• Die SAP hat die Berechtigungsprüfungen verbessert.
• Die SAP empfiehlt die erforderlichen Korrekturen gemäß der im Sicherheitshinweis genannten manuellen Korrekturanleitung in das SAP-LT-Replication-Server-System einzuspielen.
• Mehr dazu finden Sie unter dem Hinweis: 3407617

Nähere Informationen zu allen veröffentlichten Sicherheitslücken vom SAP Patch Day Januar finden Sie hier.

Wenn Sie Unterstützung bei der Bewertung der Sicherheitslücken in Bezug auf Ihre Systeme benötigen, wenden Sie sich gerne direkt an Herrn René Studtmann unter Rene.Studtmann@cpro-ips.com.