SAP Basis & Security SAP Patch Day Oktober 2024

Eine als „kritisch" eingestufte Sicherheitslücke betrifft eine fehlende Authentifizierungsprüfung in der SAP-BusinessObjects Business Intelligence Platform

Produkt: SAP BusinessObjects Business Intelligence Platform, Versionen ENTERPRISE 430, 440

In der SAP BusinessObjects Business Intelligence Platform gibt es eine fehlende Authentifizierungsprüfung.

Wenn in SAP BusinessObjects Business Intelligence die Single-Sign-On-Funktion für die Enterprise-Authentifizierung aktiviert ist, besteht die Möglichkeit, dass ein nicht-autorisierter Benutzer über einen REST-Endpunkt ein Anmeldetoken erhält.

Die SAP BusinessObjects Business Intelligence Plattform ist nur dann betroffen, wenn biprws auf unterstützten Webanwendungsservern implementiert ist, mit Ausnahme des WACS-Servers.

• Die Konfiguration der Enterprise-Authentifizierung mit Single Sign-On war vor dem Beheben der Schwachstelle nicht standardmäßig gesichert.
• Dies ermöglicht es einem Angreifer, das System vollständig zu kompromittieren, was erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit des Systems hat.
• Die SAP empfiehlt das aktuelle Support Package einzuspielen.
• Die Konfiguration der Authentifizierung mit Single Sign On Enterprise ist standardmäßig sicher
• Mehr dazu finden Sie unter dem Hinweis: 3479478

Eine weitere als „hoch" eingestufte Schwachstelle betrifft SAP Enterprise Project Connection

Produkt: SAP Enterprise Project Connection, Version - 3.0

SAP Enterprise Project Connection verwendet Versionen der Open-Source-Bibliotheken Spring Framework und Log4j, die möglicherweise anfällig für Common Vulnerabilities and Exposures im aufgeführten CVEs des Hinweises: 3523541 sind.

• In den Spring Framework-Versionen 5.3.0 - 5.3.38 sowie älteren nicht mehr unterstützten Versionen, kann ein Benutzer einen speziell gestalteten Spring Expression Language (SpEL)-Befehl bereitstellen, der zu einem Denial-of-Service (DoS) führen kann.
• JMSSink in allen Versionen von Log4j 1.x ist anfällig für die Deserialisierung von nicht vertrauenswürdigen Daten, wenn ein Angreifer Schreibzugriff auf die Log4j-Konfiguration hat oder wenn die Konfiguration auf einen LDAP-Dienst verweist, auf den der Angreifer Zugriff hat.
• Die SAP empfiehlt das Einspielen des Patches, wodurch die oben genannten CVEs korrigiert werden, indem ein Upgrade auf die relevanten Spring-Framework- und reload4j-Bibliotheken erfolgt.
• Spielen Sie das im vorliegenden SAP-Sicherheitshinweis 3523541 referenzierte Patch ein, das Ihre Komponente betrifft.

Eine weitere als „hoch" eingestufte Schwachstelle betrifft den unsicheren Dateibetrieb in SAP BusinessObjects Business Intelligence Platform (Web Intelligence)

Produkt: SAP BusinessObjects Business Intelligence Platform (Web Intelligence), Version - ENTERPRISE 420, 430, 2025, ENTERPRISECLIENTTOOLS 420, 430, 2025

Die SAP BusinessObjects Business Intelligence Platform ermöglicht es einem authentifizierten Benutzer, eine speziell manipulierte Anfrage an den Web Intelligence Reporting Server zu senden, um beliebige Dateien vom Server herunterzuladen, auf dem der Dienst läuft.

• Die SAP empfiehlt den Zugriff auf den persönliche Datenprovider einzuschränken.
• Spielen Sie die im vorliegenden SAP-Sicherheitshinweis 3478615 referenzierten Patche ein.
• Im Anschluss folgt die Datei: PersonalFile_AllowList.txt im folgenden Ordner an Windows: $InstallDir\SAP BusinessObjects Enterprise XI 4.0\win64_x64\config
  Linux: $InstallDir/sap_bobj/enterprise_xi40/linux_x64/config
• Mehr dazu finden Sie unter dem Hinweis: 3478615

Eine weitere als „hoch" eingestufte Schwachstelle betrifft eine fehlende Berechtigungsprüfung in SAP PDCE

Produkt: SAP PDCE Versionen - S4CORE 102, 103, S4COREOP 104, 105, 106, 107, 108

Elemente von PDCE führen bei authentifizierten Benutzern keine angemessenen Berechtigungsprüfungen durch, was zu einer Rechteausweitung führt.

• Dadurch hat ein Angreifer die Möglichkeit, sensible Informationen zu lesen, was erhebliche Auswirkungen auf die Vertraulichkeit der Anwendung zur Folge hat.
• Die SAP hat die betroffenen Funktionen nun deaktiviert, um die Zugriffe einzuschränken.
• Die SAP empfiehlt, das entsprechende Support Package oder die beigefügte Korrekturanleitung aus dem Sicherheitshinweis einzuspielen.
• Mehr dazu finden Sie unter dem Hinweis: 3483344

Nähere Informationen zu allen veröffentlichten Sicherheitslücken vom SAP Patch Day Oktober finden Sie hier.

Wenn Sie Unterstützung bei der Bewertung der Sicherheitslücken in Bezug auf Ihre Systeme benötigen, wenden Sie sich gern direkt an Herrn René Studtmann unter Rene.Studtmann@cpro-ips.com.