Eine als „Hot News" eingestufte Sicherheitslücke betrifft eine fehlende Authentifizierungsprüfung in der SAP BusinessObjects Business Intelligence Platform
Produkt: SAP BusinessObjects Business Intelligence Platform, Versionen ENTERPRISE 430, 440
In der SAP BusinessObjects Business Intelligence Platform gibt es eine fehlende Authentifizierungsprüfung.
Wenn in SAP BusinessObjects Business Intelligence die Single-Sign-On-Funktion für die Enterprise-Authentifizierung aktiviert ist, besteht die Möglichkeit, dass ein nicht-autorisierter Benutzer über einen REST-Endpunkt ein Anmeldetoken erhält.
Die SAP BusinessObjects Business Intelligence Platform ist nur dann betroffen, wenn biprws auf unterstützten Webanwendungsservern implementiert ist, mit Ausnahme des WACS-Servers.
- Die Konfiguration der Enterprise-Authentifizierung mit Single Sign-On war vor dem Beheben der Schwachstelle nicht standardmäßig gesichert.
- Dies ermöglicht es einem Angreifer, das System vollständig zu kompromittieren, was erhebliche Auswirkungen auf die Vertraulichkeit, die Integrität und die Verfügbarkeit des Systems hat.
- Die SAP empfiehlt das aktuelle Support Package einzuspielen.
- Die Konfiguration der Authentifizierung mit Single Sign On Enterprise ist in diesem standardmäßig sicher.
- Mehr dazu finden Sie unter dem Hinweis: 3479478
Eine als „hoch" eingestufte Schwachstelle betrifft die Offenlegung von Informationen in SAP Commerce Cloud
Produkt: SAP Commerce Cloud, Versionen - HY_COM 1808, 1811, 1905, 2005, 2105, 2011, 2205, COM_CLOUD 2211
Einige OCC-API-Endpunkte in SAP Commerce Cloud erlauben es, personenbezogene Daten (PII) wie Passwörter, E-Mail-Adressen, Mobiltelefonnummern, Gutschein- und Coupon-Codes als Abfrage- oder Pfadparameter in die Anfrage-URL einzubinden.
- Ein Angreifer kann bei Ausnutzen der Schwachstelle auf personenbezogene Daten zugreifen, was erhebliche Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung hat.
- Dies wirkt sich auf die Vertraulichkeit und Verfügbarkeit der Anwendung aus.
- Die neueste Version der SAP Commerce Cloud behebt diese Schwachstelle, indem die neuen Versionen der betroffenen OCC-API-Endpunkte eingeführt werden.
- Die SAP empfiehlt das SAP Commerce Cloud-Update-Release 2211.28 zu installieren, da es alle Korrekturen enthält.
- Kunden, die anfällige API-Endpunkte nutzen, sollten ihren clientseitigen Code entsprechend anpassen. Es wird empfohlen, die neuen, sicheren Varianten der betroffenen OCC-API-Endpunkte anstelle der alten, anfälligen Endpunkte zu verwenden.
- Die im Abschnitt „Ursache und Voraussetzungen" aufgeführten anfälligen API-Endpunkte sowie weitere Informationen zu dieser Sicherheitslücke finden Sie unter dem Hinweis: 3459935
Nähere Informationen zu allen veröffentlichten Sicherheitslücken vom SAP Patch Day September finden Sie hier.
Wenn Sie Unterstützung bei der Bewertung der Sicherheitslücken in Bezug auf Ihre Systeme benötigen, wenden Sie sich gern direkt an Herrn René Studtmann unter Rene.Studtmann@cpro-ips.com.