Die als „Hot News“ veröffentlichen Lücken betreffen dieses Mal folgende Produkte:
SAP Business Warehouse, Versionen - 710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755, 782:
- In der Datenbankschnittstelle des SAP-Business-Warehouse wurden mehrere Schwachstellen beseitigt. Zum einen handelt es sich dabei um eine SQL-Injection-Schwachstelle, die es einem Angreifer ermöglicht eigne SQL-Befehle einzubinden. Desweiteren führt eine unzureichende Berechtigungsprüfung dazu, dass ein User unabhängig von seinen tatsächlichen Berechtigungen, praktisch auf jede beliebige Datenbanktabelle zugreifen kann. Der die Probleme verursachende Funktionsbaustein wird mit der Implementierung von Hinweis 2986980 oder dem entsprechende Support Package deaktiviert
SAP Business Warehouse, Versionen - 700, 701, 702, 711, 730, 731, 740, 750, 782 und SAP BW4HANA Versionen - 100, 200
- Bei einer weiteren Code-Injection-Schwachstelle in den den genannten Versionen von SAP Business Warehouse und SAP BW/4HANA wird einem Angreifer aufgrund einer fehlenden Eingabevalidierung ermöglicht, schädlichen Code über einen remote-fähigen Funktionsbaustein in das Netzwerk einzuschleusen. Der Code kann persistent in einem Report gespeichert und anschließend ausgeführt werde kann. Diese Schwachstelle kann zu einem Verlust sensibler Daten, einer Modifikation kritischer Daten und sogar zu einem Denial-of-Service führen kann.
Die Behebung der Schwachstelle erfolgt mit Einbau von Hinweis 2999854 oder dem entsprechenden Support Package. - Zu zwei weiteren Sicherheitslücken, welche bereits im November 2020 sowie Dezember 2020 veröffentlich wurden, hat die SAP jeweils ein Update herausgebracht. Hier wurden Korrekturen für weitere Produktversionen bereitgestellt..
Update zum Patch Day November 2020:
SAP NetWeaver AS JAVA, Versions - 7.20, 7.30, 7.31, 7.40, 7.50
- Durch den UDDI-Server vom SAP NetWeaver Application Server Java wird es Angreifern ermöglicht, beliebige Betriebssystembefehle auszuführen, ohne über die erforderlichen Berechtigungen zu verfügen. Diese Sicherheitslücke wird mit einem Patch der der Komponente SR UI behoben, welcher nun auch für die Version SR UI 7.40 SP 017 und SR UI 7.31 SP 022 verfügbar ist wie Hinweis 2979062 zu entnehmen ist.
Update zum Patch Day Dezember 2020:
SAP Business Warehouse, Versionen- 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 782 und SAP BW4HANA, Versions - 100, 200
- Angreifer können eine gezielte Anforderung senden, die ohne Benutzerinteraktion Code generieren und ausführen kann. Mit einer solchen Anforderung können Betriebssystembefehle ausgeführt werden, ohne über die erforderlichen Berechtigungen zu verfügen. Um diese Schwachstelle zu schließen kann die in Hinweis 2983367 angefügte Korrekturanleitung oder das entsprechende Support Package eingespielt werden. Der entsprechende Hinweis wurde hinsichtlich der Informationen zur Gültigkeit sowie den Support Packages & Patches erneut freigegeben.
Weitere Sicherheitslücken mit der Einstufung High betreffen außerdem folgendes Produkt:
SAP NetWeaver AS ABAP, Versionen - 740, 750, 751, 752, 753, 754, 755
Beim SAP NetWeaver AS ABAP und der ABAP-Plattform wurde eine Denial-of-Service-Schwachstelle behoben, die es einem nicht autorisierten Angreifer ermöglicht durch Crashing oder Flooding des Service, rechtmäßige Benutzer am Zugriff auf diesen Service zu hindern. Für die Benutzer stellt sich dies als beeinträchtigte Verfügbarkeit des Service dar. Die Schwachstelle wird mit Hinweis 3000306 geschlossen.
Informationen zu allen veröffentlichten Sicherheitslücken vom SAP Patch Day Dezember finden Sie hier.
Wenn Sie Unterstützung bei der Bewertung der Sicherheitslücken in Bezug auf Ihre Systeme benötigen, wenden Sie sich gern direkt an Herrn René Studtmann unter Rene.Studtmann@cpro-ips.com.