Kontakt & Service
Jetzt Beratung vereinbaren

In wenigen Schritten einen Beratungs­termin mit unseren Experten buchen.

Anwender Helpdesk

Hilfestellung bei Problemen in Ihren SAP-Systemen.

Schulungen

Unser Schulungsangebot. Jetzt informieren!

Webinare

Unser Webinarangebot. Jetzt informieren!

SAP Basis & Security SAP Patch Day Juni 2023

Die als „Hot News“ veröffentlichten Sicherheitslücken betreffen dieses Mal folgende Produkte:

Produkt: SAP Knowledge Warehouse, Versionen -7.30, 7.31, 7.40, 7.50

Komponente: KM-KW_JIKS 7.30 - 7.50

Bei der anzeigenden Komponente von SAP KW wurden Eingabeparameter nicht ausreichend geprüft und verschlüsselt.

  • Dadurch kommt es zu einem Reflected-Cross-Site-Scripting-Problem.
  • Es ist zu beachten, dass die Sicherheitslücke auch dann auftreten kann, wenn Sie die anzeigende Komponente von SAP KW gar nicht verwenden. Allein das Vorhandensein der Komponente in Ihrer SAP-Landschaft reicht aus.
  • Die Parameter werden nach Einspielen der Korrektur ordnungsgemäß geprüft und verschlüsselt, um einen erfolgreichen XSS-Angriff zu verhindern.
  • Die SAP empfiehlt, die aktuellste Support Packages und Patches einzuspielen um die Schwachstelle zu schließen.
  • Diese finden Sie unter dem Hinweis 3102769.

Eine weitere als „Hot News" eingestufte Sicherheitslücke betrifft mehrere Schwachstellen, die beim Nutzen von Browser-Control Google Chromium in Verbindung mit dem SAP Business Client aufgetreten sind.

Produkt: SAPUI5 Variant Management, Versions -SAP_UI 750, SAP_UI 754, SAP_UI 755, SAP_UI 756, SAP_UI 757, UI_700 200

Komponente: SAP_UI 750 – 757, UI_700 200

Die Variantenverwaltung von SAPUI5 kodiert benutzergesteuerte Eingaben beim Lesen von Daten vom Server nicht ausreichend, wodurch eine Stored-Cross-Site-Scripting-Schwachstelle (Stored XSS) entsteht.

  • Durch das Ausnutzen dieser Schwachstelle kann der Angreifer mit Zugriff auf Benutzerebene die Vertraulichkeit des Systems stark beeinträchtigen, einige Daten ändern und auch dafür sorgen, dass die Anwendung auf Benutzerebene nicht verfügbar ist.
  • Die SAP empfiehlt bei den folgenden SAP_UI-Versionen SAP_UI 750 - 757 und den SAPUI5-Versionen 1.38.61, 1.71.56, 1.84.34, 1.96.21, 1.108.13 eine Prüfung durchzuführen:
  • Mehr dazu finden Sie unter den Hinweisen 3324285 sowie 3155948.

Eine weitere als „Hot News" eingestufte Sicherheitslücke betrifft eine fehlende Authentifizierung in SAP Plant Connectivity und Production Connector für SAP Digital Manufacturing

Produkt: SAP Plant Connectivity, Version -15.5

Komponente: PRODUCTIONCONNECT 1.0, PLANTCONNECT 15.5

  • SAP Plant Connectivity 15.5 (PCo) und der Production Connector für SAP Digital Manufacturing validieren die Signatur des JSON-Web-Tokens (JWT) in dem von SAP Digital Manufacturing gesendeten HTTP-Request nicht.
  • In der Folge können nicht autorisierte Aufrufer aus dem internen Netzwerk Serviceanforderungen an PCo oder den Production Connector senden.
  • Dies kann Auswirkungen auf die Integrität der Integration mit SAP Digital Manufacturing haben.
  • Die SAP empfiehlt den Anweisungen aus Hinweis 3304867 zu folgen.

Eine weitere als „hoch" eingestufte Sicherheitslücke besteht in SAPUI5 durch eine unzulässige Neutralisierung von Eingaben in SAPUI5

Produkt: SAP IBP EXCEL ADD-IN, Versions–2211, 2302, 2305

Komponente: SOP_EXCEL_ADDON 3.0 - 234

  • Aufgrund einer unzulässigen Neutralisierung von Eingaben in SAPUI5 erlaubt das SAPUI5-Control sap.m.FormattedText die Injection eines nicht vertrauenswürdigen CSS.
  • Hierdurch wird die Interaktion des Benutzers mit der Anwendung blockiert.
  • Wenn die Anwendung keine URL-Validierung durchführt, kann die Schwachstelle außerdem dazu führen, dass der Angreifer die Benutzerdaten durch einen Phishing-Angriff lesen oder ändern kann, was die Vertraulichkeit, Integrität sowie die Verfügbarkeit des Systems gefährdet.
  • Das betroffene SAPUI5-Control sap.m.FormattedText fügte der vorhandenen Bereinigung die erforderlichen zusätzlichen Einschränkungen hinzu.
  • Die Zugehörigkeiten für den Einbau dieser SAPUI5-Korrektur finden Sie unter dem Hinweis 3326210.

Nähere Informationen zu allen veröffentlichten Sicherheitslücken vom SAP Patch Day Juni finden Sie hier.

Wenn Sie Unterstützung bei der Bewertung der Sicherheitslücken in Bezug auf Ihre Systeme benötigen, wenden Sie sich gern direkt an Herrn René Studtmann unter Rene.Studtmann@cpro-ips.com.

Newsletter Setzen Sie auf fundiertes Wissen aus allen Bereichen unserer Branche. Regelmäßig und stets aktuell.
Beratende Person
Kontakt Haben Sie Fragen oder wünschen weitere Informationen? Unsere Experten beraten Sie gerne.