SAP Basis & Security SAP Patch Day November 2023

Die als „Hot News“ veröffentlichten Sicherheitslücken betreffen dieses Mal folgende Produkte:

Produkt: SAP CommonCryptoLib, Version 8

Produkt: SAP NetWeaver AS ABAP, SAP NetWeaver AS Java and ABAP Platform of S/4HANA on-premise, Version -KERNEL 7.22, KERNEL 7.53, KERNEL 7.54, KERNEL 7.77, KERNEL 7.85, KERNEL 7.89, KERNEL 7.91, KERNEL 7.92, KERNEL 7.93, KERNEL 7.22, KERNEL 8.04, KERNEL64UC 7.22, KERNEL64UC 7.22EXT, KERNEL64UC 7.53, KERNEL64UC 8.04, KERNEL64NUC 7.22, KERNEL64NUC 7.22EXT

Produkt: SAP Web Dispatcher, Version -7.22EXT, 7.53, 7.54, 7.77, 7.85, 7.89

Produkt: SAPContent Server, Version -6.50, 7.53, 7.54

Produkt: SAPHANA Database, Version–2.0

Produkt: SAPHost Agent, Version–722, Produkt: SAP Extended Application Services and Runtime (XSA), Version -SAP_EXTENDED_APP_SERVICES 1, XS_ADVANCED_RUNTIME 1.00, Produkt: SAPSSOEXT, Version–17

Komponente: HDB 2.00, KRNL64NUC 7.22, 722EXT, KRNL64UC 8.04, 722, 722.EXT, 7.53, WEBDISP 7.53, 7.77, 7.85, 7.22_EXT, 7.89, 7.54, XS_ADVANCED_RUNTIME 1.00, SAP_EXTENDED_APP_SERVICES 1, CONTSERV 6.50, 7.53, 7.54. SAPSSOEXT 17, CRYPTOLIB 8, SAPHOSTAGENT 7.22, KERNEL 7,22, 8.04, 7.53, 7.77, 7.85, 7.89, 7.54, 7.91, 7.92, 7.93

Aufgrund eines Fehlers in den Authentifizierungskontrollen der SAP CommonCryptoLib können authentifizierte Benutzer möglicherweise nicht die richtigen Berechtigungen erhalten. Das öffnet Tür und Tor für eine mögliche Ausdehnung der Zugriffsrechte.

• Ein Angreifer könnte – je nach Anwendung und den erreichten Berechtigungsstufen – Funktionen ausnutzen, die eigentlich nur für bestimmte Benutzergruppen gedacht sind.
• Dadurch besteht die Gefahr, dass eingeschränkte Daten von einem Angreifer eingesehen, verändert oder sogar gelöscht werden könnten.
• Die SAP empfiehlt, die aktuelle CommonCryptoLib 8.5.50 (oder höher) zu installieren. Gerne unterstützen wir Sie dabei.
• Diese Patches und weitere Informationen finden Sie unter dem Hinweis: 3340576.

Eine weitere „Hot News"-Sicherheitslücke besteht aufgrund einer unzureichenden Zugriffskontrolle bei der SAP-Business-One-Produktinstallation

Produkt: SAP Business One, Version 10.0

Bei der Installation von SAP Business One findet keine angemessene Überprüfung der Authentifizierung und Berechtigungen für den freigegebenen SMB-Ordner statt.

• Das bedeutet, dass ein Angreifer möglicherweise Lese- und Schreibzugriff auf den freigegebenen SMB-Ordner erhält.
• Zusätzlich könnten Dateien im Ordner ausgeführt oder vom Installationsprozess genutzt werden, was erhebliche Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit haben kann.
• Die SAP empfiehlt, ein Upgrade auf die neueste Version von SAP Business One 10.0 SP2308 Security Hotfix 1 durchzuführen.
• Mit dieser Version werden die Berechtigungen für den freigegebenen SMB-Ordner durch Quelltextänderungen so angepasst, dass nur authentifizierten und berechtigten Benutzern Lese- und Schreibzugriff gewährt wird.
• Außerdem wurden strenge Zugriffskontrollen implementiert, um sicherzustellen, dass die Aktivitäten im freigegebenen Ordner sowie im Installationsprozess der SAP Business One-Version 10.0 SP2308 Security Hotfix 1 überwacht und nachverfolgt werden können. Dies wurde eingeführt, um die Auditierbarkeit und Rückverfolgbarkeit zu gewährleisten.
• Mehr dazu finden Sie unter diesem Hinweis: 3355658.

Nähere Informationen zu allen veröffentlichten Sicherheitslücken vom SAP Patch Day November finden Sie hier.

Wenn Sie Unterstützung bei der Bewertung der Sicherheitslücken in Bezug auf Ihre Systeme benötigen, wenden Sie sich gern direkt an Herrn René Studtmann unter Rene.Studtmann@cpro-ips.com.