SAP Basis & Security SAP Patch Day März 2024

Die als „Hot News“ veröffentlichten Sicherheitslücken betreffen dieses Mal folgende Produkte:

Produkt: SAP Business Client, Versionen 6.5, 7.0, 7.70

Es besteht eine Sicherheitslücke im SAP Business Client, wodurch beim Anzeigen von Webseiten in SAP Business Client mittels dem Open-Source-Browser-Control verschiedene Schwachstellen auftreten.

• Wenn diese Schwachstelle erfolgreich ausgenutzt werden, können Systeminformationen offengelegt werden, die Integrität und Vertraulichkeit der Daten bedrohen und im schlimmsten Fall die Verfügbarkeit des Systems gefährdet werden.
• Die SAP empfiehlt für den SAP Business Client das stabilste und aktuellste Release des Chromium- Browser-Controls zu installieren.
• Mehr dazu finden Sie unter dem Hinweis: 2622660

Eine weitere als „Hot News" eingestufte Sicherheitslücke betrifft das Einfügen von Code in Anwendungen, die mit SAP Build Apps erstellt wurden.

Produkt: SAP ABA (Application Basis), Versionen 700, 701, 702, 731, 740, 750, 751, 752, 75C, 75I

Bei Anwendungen, die mithilfe von SAP Build Apps entwickelt wurden, besteht eine Code-Injection-Schwachstelle, die es potenziellen Angreifern ermöglicht, nicht autorisierte Befehle im System auszuführen.

• Die Auswirkungen dieser Schwachstelle können sich in geringem Maße auf die Vertraulichkeit auswirken, jedoch gravierend auf die Integrität und Verfügbarkeit der betroffenen Anwendung.
• Die SAP empfiehlt, die Anwendung in SAP Build Apps mit der Version 4.9.145 oder höher neu zu erstellen.
• Mehr dazu finden Sie unter dem Hinweis: 3425274

Eine weitere als „Hot News" eingestufte Sicherheitslücke betrifft das Einfügen von Code in SAP NetWeaver AS Java (Administrator-Log-Viewer-Plug-In)

Produkt: SAP NetWeaver AS Java (Administrator Log Viewer plug-in), Versionen 750

Das AS-Java-Log-Viewer-Plug-In des SAP NetWeaver Administrators birgt eine potenzielle Sicherheitslücke, bei der ein Angreifer mit erweiterten Berechtigungen potenziell gefährliche Dateien hochladen kann.

• Dies könnte zu einer Schwachstelle führen, die es dem Angreifer ermöglicht, Befehle einzuschleusen und auszuführen.
• Die Auswirkungen könnten sich erheblich auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung auswirken.
• Die SAP empfiehlt, den SAP-Hinweis einzuspielen, da dieser bewirkt, das nur bestimmte Dateitypen hochgeladen werden können.
• Als zusätzliche Sicherheitsverbesserung kann jede Datei nach Bedrohungen durchsucht werden.
• Eine Virenprüfung wird empfohlen, ist für die Korrektur jedoch nicht obligatorisch. Diese dient als zusätzliche Sicherheitsmaßnahme, um die Systemsicherheit zu verbessern.
• Des Weiteren empfiehlt die SAP, ihren SAP NetWeaver Application Server Java auf ein Support Package oder Release zu updaten, in dem das Problem behoben ist.
• Um Inkompatibilitäten im System zu vermeiden, lesen Sie den SAP-Hinweis 1974464
• Mehr dazu finden Sie unter dem Hinweis: 3433192

Es besteht eine weitere Schwachstelle bezüglich einer fehlerhaften Authentifizierung in der SAP Commerce Cloud

Produkt: SAP Commerce, Versionen: HY_COM 2105, HY_COM 2205, COM_CLOUD 2211

In bestimmten Konfigurationen der SAP Commerce Cloud ist es möglich, dass eine leere Kennphrase für die Authentifizierung mit Benutzer-ID und Kennphrase akzeptiert wird.

• Dies ermöglicht es Benutzern, sich ohne Eingabe einer Kennphrase in das System einzuloggen.
• Diese Schwachstelle wird behoben, indem der Standardwert der Konfigurationseigenschaft „user.password.acceptEmpty" auf „false" gesetzt wird.
• Ebenso wird diese Schwachstelle behoben, indem die Eigenschaft „user.password.acceptEmpty" in den folgenden Patches entfernt wird: SAP-Commerce-Cloud-Patch-Release 2205.22, SAP-Commerce-Cloud-Update-Release 2211.19
• Die SAP empfiehlt die im Support Portal verfügbaren Patches einzuspielen.
• Diese Patches und weitere Informationen finden Sie unter folgendem Hinweis: 3346500

Eine weitere als „hoch" eingestufte Sicherheitslücke betrifft eine Denial-of-Service (DOS) Schwachstelle in SAP HANA XS Classic und HANA XS Advanced

Produkt: HANA Database: Version 2.0

Produkt: SAP HANA Extended Application Services Advanced (XS Advanced), Version:  1.0

• In SAP HANA XS Classic und HANA XS Advanced besteht die Möglichkeit für nicht authentifizierte Benutzer, durch eine Vielzahl von HTTP/2-Anfragen einen DOS-Angriff über das Netzwerk vorzunehmen.
• Dadurch kann ein Angreifer den Speicher überfluten und die Verfügbarkeit der Anwendung stark beeinträchtigen.
• Die SAP empfiehlt die unter dem Hinweis 3410615 aufgelisteten Patches für SAP HANA Database 2.0 und SAP HANA Extended Application Services Advanced (XS Advanced) einzuspielen.
• Weitere Informationen zu dieser Sicherheitslücke und die Patches finden Sie unter dem Hinweis: 3410615

Eine weitere als „hoch" eingestufte Sicherheitslücke betrifft eine Pfad-Durchquerungs-Schwachstelle der SAP-BusinessObjects-Business-Intelligence-Platform (Central Management Console)

Produkt: SAP BusinessObjects Business Intelligence Platform (Central Management Console), Version - 4.3

Die CMC zentrale Verwaltungskonsole der SAP BusinessObjects-Business-Intelligence-Platform verwendet eine Version von Apache Struts, die anfällig für eine Pfad-Durchquerungs-Schwachstelle ist.

• Die betroffene Open-Source-Bibliothek wird auf eine nicht anfällige Version aktualisiert.
• Die SAP empfiehlt die aktuellen Support Packages der SBOP BI PLATFORM SERVERS 4.3 einzuspielen.
• Weitere Informationen zu dieser Sicherheitslücke finden Sie unter dem Hinweis: 3414195

Nähere Informationen zu allen veröffentlichten Sicherheitslücken vom SAP Patch Day März finden Sie hier.

Wenn Sie Unterstützung bei der Bewertung der Sicherheitslücken in Bezug auf Ihre Systeme benötigen, wenden Sie sich gern direkt an Herrn René Studtmann unter Rene.Studtmann@cpro-ips.com.