Kontakt & Service
Jetzt Beratung vereinbaren

In wenigen Schritten einen Beratungs­termin mit unseren Experten buchen.

Anwender Helpdesk

Hilfestellung bei Problemen in Ihren SAP-Systemen.

Webinare

Unser Webinarangebot. Jetzt informieren!

Newsletter

Jetzt Newsletter abonnieren!

SAP Basis & Security SAP Patch Day November 2024

Eine als „hoch" eingestufte Schwachstelle betrifft eine Cross-Site-Scripting-Schwachstelle (XSS) in SAP Web Dispatcher

Produkt: SAP Web Dispatcher, Versionen - WEBDISP 7.77, 7.89, 7.93, KERNEL 7.77, 7.89, 7.93, 9.12, 9.13

  • Aufgrund der Cross-Site-Scripting-Schwachstelle kann ein Angreifer ohne Authentifizierung einen schädlichen Link erstellen und öffentlich zugänglich machen. Wenn ein authentifizierter Benutzer diesen Link anklickt, nutzt die Website die Eingabedaten zur Generierung von Inhalten. Dies kann dem Angreifer die Möglichkeit geben, im Browser des Benutzers schädlichen Code auszuführen (XXS) oder Daten an einen anderen Server zu senden (SSRF).
  • Durch diese Schwachstelle könnte der Angreifer beliebigen Code auf dem Server ausführen, was die Vertraulichkeit, Integrität und Verfügbarkeit des Systems vollständig bedroht.
  • Die Schwachstelle erfordert, dass das Opfer sich über den Browser in die Administrations-UI einloggt. Systeme ohne berechtigte Benutzer für die Administrations-UI sind nicht gefährdet.
  • Die SAP empfiehlt, die im vorliegenden SAP-Sicherheitshinweis 3520281 referenzierten Patche und Support Packages einzuspielen.
  • Mehr dazu finden Sie unter dem Hinweis: 3520281

Eine weitere als hoch eingestufte Schwachstelle betrifft eine fehlende Berechtigungsprüfung in SAP PDCE

Produkt: SAP PDCE Versionen - S4CORE 102, 103, S4COREOP 104, 105, 106, 107, 108

Elemente von PDCE führen bei authentifizierten Benutzern keine angemessenen Berechtigungsprüfungen durch, was zu einer Rechteausweitung führt.

  • Dadurch hat ein Angreifer die Möglichkeit, sensible Informationen zu lesen, was erhebliche Auswirkungen auf die Vertraulichkeit der Anwendung zur Folge hat.
  • Die SAP hat die betroffenen Funktionen nun deaktiviert, um die Zugriffe einzuschränken.
  • Die SAP empfiehlt, das entsprechende Support Package oder die beigefügte Korrekturanleitung aus dem Sicherheitshinweis einzuspielen.
  • Mehr dazu finden Sie unter dem Hinweis: 3483344

Nähere Informationen zu allen veröffentlichten Sicherheitslücken vom SAP Patch Day November finden Sie hier.

Wenn Sie Unterstützung bei der Bewertung der Sicherheitslücken in Bezug auf Ihre Systeme benötigen, wenden Sie sich gern direkt an René Studtmann.

Newsletter Setzen Sie auf fundiertes Wissen aus allen Bereichen unserer Branche. Regelmäßig und stets aktuell.
Beratende Person
Kontakt Haben Sie Fragen oder wünschen weitere Informationen? Unsere Experten beraten Sie gerne.