Die als „Hot News“ veröffentlichten Lücken betreffen dieses Mal folgende Produkte:
Produkt: SAP Enterprise Release 420 und 430
Eine Schwachstelle ist eine Sicherheitslücke in der SAP Business Objects Central Management Konsole
- Durch die Sicherheitslücke in SAP BusinessObjects CMC kann ein Angreifer Token Informationen über das Netzwerk aufrufen welche sonst verschlüsselt wären.
- Ein autorisierter User kann durch diese Sicherheitslücke Opfer eines sniffing oder social Engineering Angriffs werden wodurch die ganze Anwendung durch Angreifer gefährdet ist.
- Die SAP empfiehlt den Token zu verschlüsseln und die Versionen 4.2 SP09 Patch 9, 4.3 SP01 zu nutzen, bei welchen das Problem behoben wurde.
Eine weitere Schwachstelle ist die Offenlegung von Informationen in SAP Business One
Produkt: SAP Business One
Komponente: B1_ON_HANA 10.0 SAP-M-BO 10.0
- Durch ein spezielles Integrationsscenario in SAP Business One und SAP HANA kann ein Angreifer das Datenvolumen von SAP Hana Cockpit ausnutzen um Zugriff auf hochsensible Daten zu bekommen
- Die SAP empfiehlt ein Upgrade auf SAP Business One 10.0 FP2202 durchzuführen bei welchem durch die SAP ein Schutz zu dieser Sicherheitslücke integriert wurde.
- Mehr dazu finden Sie unter dem Hinweis 3212997
Durch eine fehlende Berechtigungsprüfung in SAP Business One (Lizenzservice –API):
Product – SAP Business One 10.0 für Hana – SAP Business One 10.0
Komponente: B1_ON_HANA 10.0, SAP-M-BO 10.0
- Aufgrund einer fehlenden Berechtigungsprüfung in SAP Business One kann ein nicht authentifizierter Angreifer, schädliche HTTP-Requests über das Netzwerk senden.
- Dies kann dazu führen, dass ein Angreifer die gesamte Anwendung stilllegen kann, sodass sie nicht mehr zugänglich ist.
- Die SAP fügt der wtite API Authentifizierungschecks hinzu
- Um die Schwachstelle zu schließen empfiehlt die SAP ein Upgrade auf SAP Business One 10.0 FP2202. Mehr dazu finden Sie unter den folgenden Hinweisen: 3157613
Eine weitere Schwachstelle die in SAP Business One besteht, ist die Einfügung von Fremdcode über den SAP Business One Clienten
Product – SAP Business One 10.0 für Hana – SAP Business One 10.0
Komponente: B1_ON_HANA 10.0, SAP-M-BO 10.0
- Mit dem SAP-Business-One-Client kann ein nicht autorisierter Angreifer mit Code einschleusen, der von der Anwendung ausgeführt werden kann. Ein Angreifer könnte damit das Verhalten der Anwendung steuern.
- Die Sap erweitert den Mechanismus zum Hochladen von Anlagen, sodass bestimmter Dateien bestimmter Dateitypen nicht mehr hochgeladen werden können und gefährliche Dateien an andere Benutzer verteilt oder im System ausgeführt werden.
- Mehr dazu finden Sie unter dem Hinweis 3191012
Nähere Informationen zu allen veröffentlichten Sicherheitslücken vom SAP Patch Day Juli finden Sie hier.
Wenn Sie Unterstützung bei der Bewertung der Sicherheitslücken in Bezug auf Ihre Systeme benötigen, wenden Sie sich gern direkt an Herrn René Studtmann unter Rene.Studtmann@cpro-ips.com.