Kontakt & Service
Jetzt Beratung vereinbaren

In wenigen Schritten einen Beratungs­termin mit unseren Experten buchen.

Anwender Helpdesk

Hilfestellung bei Problemen in Ihren SAP-Systemen.

Webinare

Unser Webinarangebot. Jetzt informieren!

Newsletter

Jetzt Newsletter abonnieren!

SAP Basis & Security SAP Patch Day September 2024

Eine als „Hot News" eingestufte Sicherheitslücke betrifft eine fehlende Authentifizierungsprüfung in der SAP BusinessObjects Business Intelligence Platform

Produkt: SAP BusinessObjects Business Intelligence Platform, Versionen ENTERPRISE 430, 440

In der SAP BusinessObjects Business Intelligence Platform gibt es eine fehlende Authentifizierungsprüfung.

Wenn in SAP BusinessObjects Business Intelligence die Single-Sign-On-Funktion für die Enterprise-Authentifizierung aktiviert ist, besteht die Möglichkeit, dass ein nicht-autorisierter Benutzer über einen REST-Endpunkt ein Anmeldetoken erhält.

Die SAP BusinessObjects Business Intelligence Platform ist nur dann betroffen, wenn biprws auf unterstützten Webanwendungsservern implementiert ist, mit Ausnahme des WACS-Servers.

  • Die Konfiguration der Enterprise-Authentifizierung mit Single Sign-On war vor dem Beheben der Schwachstelle nicht standardmäßig gesichert.
  • Dies ermöglicht es einem Angreifer, das System vollständig zu kompromittieren, was erhebliche Auswirkungen auf die Vertraulichkeit, die Integrität und die Verfügbarkeit des Systems hat.
  • Die SAP empfiehlt das aktuelle Support Package einzuspielen.
  • Die Konfiguration der Authentifizierung mit Single Sign On Enterprise ist in diesem standardmäßig sicher.
  • Mehr dazu finden Sie unter dem Hinweis: 3479478

Eine als „hoch" eingestufte Schwachstelle betrifft die Offenlegung von Informationen in SAP Commerce Cloud

Produkt: SAP Commerce Cloud, Versionen - HY_COM 1808, 1811, 1905, 2005, 2105, 2011, 2205, COM_CLOUD 2211

Einige OCC-API-Endpunkte in SAP Commerce Cloud erlauben es, personenbezogene Daten (PII) wie Passwörter, E-Mail-Adressen, Mobiltelefonnummern, Gutschein- und Coupon-Codes als Abfrage- oder Pfadparameter in die Anfrage-URL einzubinden.

  • Ein Angreifer kann bei Ausnutzen der Schwachstelle auf personenbezogene Daten zugreifen, was erhebliche Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung hat.
  • Dies wirkt sich auf die Vertraulichkeit und Verfügbarkeit der Anwendung aus.
  • Die neueste Version der SAP Commerce Cloud behebt diese Schwachstelle, indem die neuen Versionen der betroffenen OCC-API-Endpunkte eingeführt werden.
  • Die SAP empfiehlt das SAP Commerce Cloud-Update-Release 2211.28 zu installieren, da es alle Korrekturen enthält.
  • Kunden, die anfällige API-Endpunkte nutzen, sollten ihren clientseitigen Code entsprechend anpassen. Es wird empfohlen, die neuen, sicheren Varianten der betroffenen OCC-API-Endpunkte anstelle der alten, anfälligen Endpunkte zu verwenden.
  • Die im Abschnitt „Ursache und Voraussetzungen" aufgeführten anfälligen API-Endpunkte sowie weitere Informationen zu dieser Sicherheitslücke finden Sie unter dem Hinweis: 3459935

Nähere Informationen zu allen veröffentlichten Sicherheitslücken vom SAP Patch Day September finden Sie hier.

Wenn Sie Unterstützung bei der Bewertung der Sicherheitslücken in Bezug auf Ihre Systeme benötigen, wenden Sie sich gern direkt an Herrn René Studtmann unter Rene.Studtmann@cpro-ips.com.

Newsletter Setzen Sie auf fundiertes Wissen aus allen Bereichen unserer Branche. Regelmäßig und stets aktuell.
Beratende Person
Kontakt Haben Sie Fragen oder wünschen weitere Informationen? Unsere Experten beraten Sie gerne.