SAP Patch Day: Juni 2025

24. Juni 2025

Kritische fehlende Berechtigungsprüfung im RFC-Framework erfordert sofortiges Kernel-Update

Die SAP Security Notes im Juni umfassen folgende Highlights:

• Juni-Zusammenfassung – SAP hat insgesamt neunzehn neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter zwei HotNews und sieben Hinweise mit hoher Priorität.
• Kritische fehlende Berechtigungsprüfung – Eine Schwachstelle im RFC-Framework erfordert ein sofortiges Kernel-Update.
• Beitrag der Onapsis Research Labs – Das Onapsis-Team unterstützte SAP bei der Schließung von vier Schwachstellen, die von zwei SAP-Sicherheitshinweisen abgedeckt werden.

Zum Juni Patch Day hat SAP neunzehn neue und aktualisierte SAP-Sicherheitshinweise veröffentlicht. Darunter sind zwei HotNews und sieben als High Priority klassifizierte Hinweise. Zwei der vierzehn neuen Sicherheitshinweise wurden in Zusammenarbeit mit den Onapsis Research Labs veröffentlicht. 

Die HotNews Notes im Detail

SAP Security Note #3600840, gekennzeichnet mit einem CVSS-Score von 9.6, behebt eine kritische Schwachstelle (Missing Authorization Check) im Remote Function Call (RFC) Framework des SAP NetWeaver Application Server AS ABAP. Unter bestimmten Bedingungen können authentifizierte Angreifer die Standardberechtigungsprüfung für das Berechtigungsobjekt S_RFC umgehen, wenn sie transaktionale (tRFC) oder queued RFCs (qRFC) verwenden, wodurch sie erweiterte Rechte erlangen können. Dies ermöglicht Angreifern, die Integrität und Verfügbarkeit der Anwendung kritisch zu beeinflussen.

Der Sicherheitshinweis weist darauf hin, dass einigen Benutzern aufgrund der Änderung möglicherweise zusätzliche S_RFC-Berechtigungen zugewiesen werden müssen. Der referenzierte FAQ-SAP-Hinweis #3601919 erläutert, wie diese Benutzer zu identifizieren sind und wie die zusätzliche S_RFC-Prüfung nach Rollenanpassungen durch Setzen des Profilparameters rfc/authCheckInPlayback auf 1 dauerhaft aktiviert werden kann.

Der SAP-Sicherheitshinweis #3604119, bewertet mit einem CVSS-Score von 9.1, ist lediglich eine sprachliche Aktualisierung des kritischen Patches für SAP Visual Composer, der von SAP ursprünglich in Zusammenarbeit mit Onapsis im Mai veröffentlicht wurde. Das Update verdeutlicht, dass der Patch unabhängig von einer vorherigen Implementierung des SAP Security Note #3594142 implementiert werden muss.

Die High Priority Notes im Detail

Die SAP Security Note #3609271 mit dem CVSS-Score 8.8 deaktiviert einen anfälligen Bericht in SAP GRC. Dieser erlaubt es Benutzern mit eingeschränkten Rechten, Transaktionen zu initiieren, mit denen er übermittelte Systemanmeldeinformationen ändern oder kontrollieren kann. Ein erfolgreicher Angriff kann erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung haben.

Der Hinweis #3474398 – CVSS-Score 8.7 – wurde ursprünglich am SAP Patch Day im Januar veröffentlicht und behebt eine Schwachstelle in SAP BusinessObjects Business Intelligence Platform, die eine Offenlegung von Informationen und eine Code-Injektion ermöglicht. Der Hinweis wurde mit aktualisierten Informationen zu „Gültigkeit“ und „Support Packages & Patches“ erneut veröffentlicht.

Der Sicherheitshinweis #3606484, gekennzeichnet mit einem CVSS-Score von 8.5, behandelt eine fehlende Berechtigungsprüfung in SAP Business Warehouse und SAP Plug-In Basis. Ein remote-fähiger Funktionsbaustein ermöglicht das generische Löschen von Datenbanktabellen ohne vorherige Berechtigungsprüfung. Die Implementierung des Hinweises deaktiviert den entsprechenden Quellcode.

Eine fehlende oder unzureichende Bereinigung von Eingabetext in SAP BusinessObjects Business Intelligence (BI Workspace) ermöglicht es einem nicht authentifizierten Angreifer, ein bösartiges Skript in einem Arbeitsbereich zu erstellen und zu speichern. Bei einem späteren Aufruf des Arbeitsbereichs wird das Skript im Browser des Opfers ausgeführt, so dass der Angreifer möglicherweise auf sensible Sitzungsdaten zugreifen und Browserinformationen ändern oder unzugänglich machen kann. Die Schwachstelle im Cross-Site-Scripting wird mit dem Sicherheitshinweis #3560693 gepatcht, der mit einem CVSS-Score von 8.2 versehen ist.

Der mit einem CVSS-Score von 7.7 versehene SAP-Sicherheitshinweis #3591978 wurde ursprünglich am Mai Patch Day in Zusammenarbeit mit den Onapsis Research Labs veröffentlicht. Der Hinweis behebt eine Schwachstelle in SAP Landscape Transformation, die durch eine fehlende Berechtigungsprüfung verursacht wird. Er wurde mit aktualisierten Informationen zur „Gültigkeit“ und „Support Packages & Patches“ erneut veröffentlicht.

Nachdem im April und Mai bereits kritische Patches für SAP Visual Composer bereitgestellt wurden, hat SAP nun einen weiteren Patch für diese Anwendung bereitgestellt. Der Sicherheitshinweis #3610591 (CVSS-Score 7.6) behebt eine Directory Traversal-Schwachstelle, die durch eine unzureichende Validierung von Eingabepfaden verursacht wird, die von einem autorisierten Benutzer eingegeben werden. Bei erfolgreicher Ausnutzung kann ein Angreifer beliebige Dateien lesen und verändern.

Der Hinweis #3610006 mit einem CVSS-Score von 7,5 behebt drei Schwachstellen in SAP Master Data Management (MDM) Server. Alle drei Schwachstellen wurden von den Onapsis Research Labs (ORL) identifiziert und konnten von SAP in Zusammenarbeit mit dem ORL-Team umgehend behoben werden. Bei zwei der drei Schwachstellen handelt es sich um Verwundbarkeiten des Speichers, die es einem Angreifer ermöglichen, gezielt erstellte Pakete zu senden, die eine Verletzung des Speicherlesezugriffs im Serverprozess auslösen können. Infolgedessen schlägt der Prozess fehl und wird unerwartet beendet, was die Verfügbarkeit der Anwendung stark beeinträchtigt. Bei der dritten Schwachstelle handelt es sich um eine unsichere Schwachstelle im Sitzungsmanagement, die es einem Angreifer ermöglicht, die Kontrolle über bestehende Client-Sitzungen zu erlangen und bestimmte Funktionen auszuführen, ohne sich erneut authentifizieren zu müssen. Bei erfolgreicher Ausnutzung kann der Angreifer nicht-sensible Informationen lesen und ändern oder so viele Ressourcen verbrauchen, dass die Leistung des Servers beeinträchtigt wird.

Der Beitrag von Onapsis

Zusätzlich zu den drei Schwachstellen, die mit der SAP Security Note #3610006 gepatcht wurden, unterstützte das ORL-Team SAP bei der Schließung einer Schwachstelle im Cross-Site Scripting (XSS) in der Keyword-Dokumentation von SAP NetWeaver AS ABAP. Aufgrund einer unzureichenden Validierung von URL-Anfragen war es einem nicht authentifizierten Angreifer möglich, bösartiges JavaScript über einen ungeschützten Parameter in eine Webseite einzuschleusen. Beim anschließenden Zugriff eines Opfers wird das Skript in dessen Browser ausgeführt, wodurch der Angreifer begrenzten Zugriff auf eingeschränkte Informationen erhält. Der SAP-Sicherheitshinweis #3590887, der mit einem CVSS-Score von 5,8 versehen ist, führt eine ordnungsgemäße Validierung von URL-Anfragen für ungeschützte Parameter ein.

Zusammenfassung und Fazit

Mit neunzehn SAP-Sicherheitshinweisen, darunter eine neue HotNews und fünf neue Hinweise mit hoher Priorität, ist es im Juni ein durchschnittlicher SAP Patch Day. Besondere Aufmerksamkeit sollte dem Hinweis #3600840 gewidmet werden. Ein sofortiges Patchen wird dringend empfohlen.

Wie immer aktualisieren die Onapsis Research Labs bereits die Onapsis-Plattform, um die neu veröffentlichten Schwachstellen im Produkt zu berücksichtigen, damit Unternehmen sich optimal schützen können.

Für weitere Informationen über die neuesten SAP-Sicherheitsprobleme und unsere kontinuierlichen Bemühungen, Wissen mit der Security-Community zu teilen, abonnieren Sie den monatlichen Defenders Digest Onapsis Newsletter auf LinkedIn.

Weitere Informationen und Details zu allen Sicherheitshinweisen finden Sie hier auf dem Onapsis-Blog.