Kontakt & Service
Jetzt Beratung vereinbaren

In wenigen Schritten einen Beratungs­termin mit unseren Experten buchen.

Anwender Helpdesk

Hilfestellung bei Problemen in Ihren SAP-Systemen.

Webinare

Unser Webinarangebot. Jetzt informieren!

Newsletter

Jetzt Newsletter abonnieren!

SAP Basis & Security SAP Patch Day Mai 2022

Die als „Hot News“ veröffentlichten Lücken betreffen dieses Mal folgende Produkte:

Produkt: SAP Business One Cloud, Version - 1.1

Remote Code Ausführung im Spring Framework welches in der SAP Business One Cloud genutzt wird.

  • Eine Spring MVC- oder Spring WebFlux-Anwendung, die auf JDK 9+ ausgeführt wird, ist möglicherweise anfällig für Remote Code Ausführung (RCE) über Datenbindung. Die SAP empfiehlt ein Upgrade der SAP Business One Cloud 1.1 PL18 Hotfix1. Mehr dazu finden Sie unter dem Hinweis 3189409
  • Sollten Sie Probleme mit der Einschätzung der Sicherheitslücke haben, beraten wir Sie gerne mit den neuesten Informationen, die von der SAP bereitgestellt werden.

Eine weitere Schwachstelle die durch das Spring Framework auftritt finden Sie im folgenden Produkt:

Produkt: SAP Commerce, Versions - 1905, 2005, 2105 & 2011

Komponente: CEC-COM-CPS-WEB

  • Sap Commerce nutzt ebenso eine Version des Spring Frameworks und ist daher auch von der Remote Code Ausführungsschwachstelle betroffen.
  • Die SAP empfiehlt ein Update, der Spring Bibliothek. Die aktualisierten Spring Framework Versionen sind von der Schwachstelle nicht mehr betroffen.
  • Mehr dazu finden Sie unter dem Hinweis 3171258 

Eine weitere Schwachstelle die durch das Spring Framework auftritt finden Sie im folgenden Produkt:

Product - SAP Customer Profitability Analytics, Version – 2

Komponente: IS-T-MA

  • Auch SAP Customer Profitability Analytics nutzt eine Version des Spring Frameworks und ist daher auch von der Remote Code Ausführungsschwachstelle betroffen.
  • Das Spring Framework wurde auf eine upgedatete Version gepatched welche nicht mehr anfällig für Spring4Shell Angriffe ist.
  • Um die Schwachstelle zu beheben müssen die SAP Customer Profitability Analytics auf das Release 2.0 SP06 Patch 11, patchen. Mehr dazu finden Sie unter den folgenden Hinweisen: 3141164 , 2660527

Eine weitere Schwachstelle die durch das Spring Framework aufttritt finden Sie im SYBASE_POWERDESIGNER_WEBPORTAL

Produkt: SYBASE_POWERDESIGNER_WEBPORTAL       16.7   16.7

  • PowerDesigner Web nutzt eine Version des Spring Frameworks welche anfällig für die Ausführung von Remote Code ist.
  • Die Version JRE 1.8 ist für diese Schwachstelle nicht anfällig.
  • Die Sap empfiehlt die Version 1.8 zu nutzen oder den PowerDesigner-web auf den kommenden Patch Level PowerDesigner 16.7 SP05 PL02 zu updaten.
  • Mehr dazu finden Sie unter dem Hinweis 3189429

 Eine weitere Schwachstelle die durch das Spring Framework auftritt finden Sie im SAP HANA Extended Application Services

  • Auch SAP HANA Extended Application Services nutzt eine Version des Spring Frameworks welche anfällig für die Ausführung von Remote Code ist.
  • Die Sap empfiehlt SAP HANA XS Advanced Runtime auf den letzten verfügbaren Patchlevel Version 1.0.145 zu updaten. Weitere Informationen finden Sie unter folgenden Hinweisen: 3189428, 3166746

 Weitere Sicherheitslücken mit der Einstufung High betreffen außerdem folgende Produkte:

SAP Webdispatcher, Versions - 7.22EXT, 7.49, 7.53, 7.77, 7.81, 7.83,7.85

Product - SAP Netweaver AS for ABAP and Java (ICM), Versions - KRNL64NUC

7.22, 7.22EXT, 7.49, KRNL64UC, 7.22, 7.22EXT, 7.49, 7.53, 8.04, KERNEL

7.22, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, 8.04

Cross-Site Scripting (XSS) vulnerability in administration
UI of SAP Webdispatcher and SAP Netweaver AS for ABAP and Java (ICM)

  • Durch eine Schwachstelle im Cross-Site Scripting (XSS) werden im Web Dispatcher und dem Internet Communication Manager (ICM) werden Benutzer Eingaben nicht ausreihend encoded. Diese Schwachstelle können Angreifer ausnutzen.
  • Spielen Sie die Support Packages und Patches aus der Note: 3145046 ein.
  • Sollten Sie Probleme mit der Einschätzung der Sicherheitslücke haben, beraten wir Sie gerne mit den neuesten Informationen, die von der SAP bereitgestellt werden.

 

Weitere Sicherheitslücken mit der Einstufung High betreffen außerdem folgende Produkte:

SAP BusinessObjects Business Intelligence Platform, Versions - 420,
430

  • Während einer Aktualisierung von SAP Business Objects Enterprise werden die Authentifizierungsdaten von Central Management Server (CMS) in SYSMON-Ereignisprotokollen offengelegt. Angreifer können beim Ausnutzen dieser Schwachstelle an vertrauliche Daten aus ihrem System kommen.
  • Spielen Sie die Support Packages und Patches aus der Note: 2998510 ein.

 Nähere Informationen zu allen veröffentlichten Sicherheitslücken vom SAP Patch Day Mai finden Sie hier.

Wenn Sie Unterstützung bei der Bewertung der Sicherheitslücken in Bezug auf Ihre Systeme benötigen, wenden Sie sich gern direkt an Herrn René Studtmann unter Rene.Studtmann@cpro-ips.com.

Stand: 13. Mai 2022
Newsletter Setzen Sie auf fundiertes Wissen aus allen Bereichen unserer Branche. Regelmäßig und stets aktuell.
Beratende Person
Kontakt Haben Sie Fragen oder wünschen weitere Informationen? Unsere Experten beraten Sie gerne.