SAP Basis & Security SAP Patch Day Januar 2025

Die als „Hot News“ eingestufte veröffentlichte Sicherheitslücke betrifft dieses Mal folgendes Produkt:

Produkt: SAP NetWeaver Application Server for ABAP and ABAP Platform, Versionen KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, 8.04, KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93, 7.97, 8.04, 9.12, 9.13, 9.14

• Es besteht eine Sicherheitslücke in der Authentifizierungsprüfung von SAP NetWeaver Application Server für ABAP und der ABAP-Plattform.
• Der ABAP-Server unterscheidet nicht eindeutig, ob die Kommunikation über HTTP zwischen dem Anwendungsserver desselben SAP-Systems oder mit Servern außerhalb desselben Systems stattfindet.
• Ein Angreifer kann durch diese Sicherheitslücke unberechtigten Zugriff auf das System erlangen, was eine Berechtigungseskalation zur Folge haben kann.
• Durch die Sicherheitslücke besteht ein potenzielles Sicherheitsrisiko für fas System.
• Die SAP empfiehlt, den neuesten SP-Stack-Kernel einzuspielen, wenn er die Korrektur enthält.
• Mehr dazu finden Sie unter dem Hinweis: 3537476

Eine weitere als ,,Hot News‘‘ kritisch eingestufte Sicherheitslücke betrifft eine Schwachstelle bezüglich der Offenlegung von Informationen in SAP NetWeaver AS für ABAP und ABAP Platform (Internet Communication Framework)

Produkt: SAP NetWeaver AS for ABAP and ABAP Platform (Internet Communication Framework), Versionen SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 912, SAP_BASIS 913, SAP_BASIS 914

• Aufgrund einer Schwachstelle in SAP NetWeaver AS für ABAP und ABAP Platform (Internet Communication Framework) kann ein Angreifer Zugriff auf normalerweise eingeschränkte Informationen erlangen.
• Die SAP empfiehlt, das in diesem SAP-Hinweis 3550708 genannte Support Package oder die entsprechende Korrekturanleitung einzuspielen.
• Die Korrektur deaktiviert die Programmausführung der Transaktion SA38.
• Mehr dazu finden Sie unter dem Hinweis: 3550708

Eine weitere als ,,hoch" eingestufte Sicherheitslücke besteht durch eine SQL-Injektion-Schwachstelle in SAP NetWeaver AS ABAP und ABAP Platform

Produkt: AP NetWeaver AS ABAP and ABAP Platform, Versionen - SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758

• SAP NetWeaver AS ABAP und die ABAP Platform führen bei der Ausführung bestimmter RFC-Funktionsbausteine keine Berechtigungsprüfung durch.
• Dies kann dazu führen, dass ein Angreifer über grundlegende Benutzerberechtigungen verfügt und die Kontrolle über die Daten in der Informix-Datenbank erhält.
• Als Behelfslösung können Sie RFC-Aufrufe für die Funktionsgruppe SDBI einschränken. Stellen Sie sicher, dass Funktionen der Funktionsgruppe oder die Funktionsgruppe selbst nicht in der Berechtigung S_RFC aufgeführt sind.
• Die SAP empfiehlt, das mit diesem SAP-Hinweis bereitgestellte Support Package oder die entsprechende Korrekturanleitung einzuspielen.
• Mehr dazu finden Sie unter den Hinweisen: 3550816 und 3550817

Eine weitere als ,,hoch" eingestufte Schwachstelle betrifft mehrere Schwachstellen in der SAP BusinessObjects Business Intelligence Platform

Produkt: SAP BusinessObjects Business Intelligence Platform, Versionen - ENTERPRISE 420, 430, 2025

• Aufgrund einer Schwachstelle bei der Offenlegung von Informationen kann ein Angreifer Session-Hijacking über das Netzwerk ohne Benutzerinteraktion durchführen, wodurch er auf Daten des Benutzers in der Anwendung zugreifen und diese verändern kann.
• Des Weiteren besteht eine Code-Einschleuse-Schwachstelle, die es einem authentifizierten Benutzer mit eingeschränktem Zugriff ermöglicht, schädlichen JS-Code einzuschleusen, der sensible Informationen vom Server lesen und an den Angreifer senden kann.
• Der Angreifer könnte sich nach erfolgreichem Ausnutzen der Sicherheitslücke mit diesen Informationen außerdem als Benutzer mit hohen Berechtigungen ausgeben, was große Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung hat.
• Die SAP hat die sensiblen Informationen, die im Client-Code gespeichert wurden, entfernt.
• Mehr dazu finden Sie unter dem Hinweis: 3474398.

Eine weitere als ,,hoch" eingestufte Schwachstelle betrifft DLL-Hijacking- in SAPSetup

Produkt: SAPSetup, Versionen - LMSAPSETUP 9.0

• Eine DLL-Injection-Schwachstelle in SAPSetup ermöglicht es einem Angreifer, mit normalen Benutzerrechten oder durch Zugriff auf das Windows-Konto eines kompromittierten Unternehmensbenutzers, höhere Berechtigungen zu erlangen.
• Dadurch könnte der Angreifer sich lateral im Netzwerk ausbreiten und das Active Directory des Unternehmens weiter kompromittieren.
• Dies beeinträchtigt die Vertraulichkeit, Integrität und Verfügbarkeit des Windows-Servers erheblich.
• Die Schwachstelle resultiert aus unzureichend konfigurierten Berechtigungen für temporäre Ordner. Dieses Problem tritt auf, wenn ein selbstextrahierendes Installationsprogramm mit SYSTEM-Benutzerrechten über ein Softwareverteilungssystem wie Microsoft SCCM ausgeführt wird.
• Die SAP empfiehlt, den im Abschnitt „Support-Package-Patches“ angegeben Patch des SAP-Hinweises 3542533 für DBSL zu installieren.
• Wenn Sie die Installation mit dem Frontend-Installationsprogramm vornehmen, verwenden Sie SAPSetup 9.0.120.0 oder höher.
• Wenn Sie von einem Installationsserver aus installieren, verwenden Sie dazu Administratorrechte.
• Mehr dazu finden Sie unter dem Hinweis: 3542533

Nähere Informationen zu allen veröffentlichten Sicherheitslücken vom SAP Patch Day Januar finden Sie hier.

Wenn Sie Unterstützung bei der Bewertung der Sicherheitslücken in Bezug auf Ihre Systeme benötigen, wenden Sie sich gern direkt an René Studtmann.