SAP-Patchtag: März 2024

Kritische Code-Injection-Schwachstelle in SAP NetWeaver AS Java

Zu den Höhepunkten der Analyse der SAP-Sicherheitshinweise im März gehören:

Zusammenfassung vom März –Zwölf neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter drei HotNews Notizen und drei Hohe Priorität Notizen.
SAP NetWeaver AS Java im Fokus – Eine kritische Schwachstelle durch Code-Injection und drei Schwachstellen in Bezug auf die Offenlegung von Informationen in verschiedenen Anwendungen und Komponenten.
Beitrag von Onapsis Research Labs – Unser Team unterstützte SAP bei der Behebung dieser drei Information Disclosure-Schwachstellen.

SAP hat veröffentlicht zwölf neue und aktualisierte Sicherheitshinweise am März-Patchtag (einschließlich der Hinweise, die seit dem letzten Patch-Dienstag veröffentlicht oder aktualisiert wurden). Dazu gehört nach drei HotNews Notizen und drei High Priority Notizen.

Aktualisierte Hinweise im Detail

Einer der drei HotNews Notes ist der regelmäßig wiederkehrende SAP-Sicherheitshinweis #2622660 das ein Update für SAP Business Client bereitstellt, einschließlich der neuesten unterstützten Chromium-Patches. SAP Business Client unterstützt jetzt die Chromium-Version 121.0.6167.184, die insgesamt XNUMX Schwachstellen behebt, darunter zwei Kritisch und fünfzehn Hohe Priorität Schwachstellen. Der maximale CVSS-Wert aller behobenen Schwachstellen beträgt 9.8.

Hinweis mit hoher Priorität #3346500, gekennzeichnet mit einem CVSS-Score von 8.8, ist ein aktualisierter SAP-Sicherheitshinweis, der eine Schwachstelle durch unsachgemäße Authentifizierung in SAP Commerce Cloud behebt. Die Sicherheitslücke ermöglicht es Benutzern, sich ohne Passphrase am System anzumelden. SAP-Commerce-Cloud-Kunden sollten den Hinweis lesen, da SAP die Versionen der Fix-SAP-Commerce-Cloud-Builds aktualisiert hat.

**The New HotNews Hinweise im Detail**

SAP-Sicherheitshinweis #3425274, gekennzeichnet mit einem CVSS-Score von 9.4, betrifft alle Anwendungen, die mit SAP Build Apps-Versionen vor 4.9.145 erstellt wurden. Diese Versionen enthalten eine anfällige Version der Lodash-Dienstprogrammbibliothek, die es einem Angreifer ermöglicht, nicht autorisierte Befehle auf dem System auszuführen, was zu einer geringen Auswirkung auf die Vertraulichkeit führen und große Auswirkungen auf die Integrität und Verfügbarkeit der Anwendung haben kann. Das Problem kann gelöst werden, indem alle betroffenen Anwendungen mit SAP Build Apps Version 4.9.145 oder höher neu erstellt werden.

SAP-Sicherheitshinweis #3433192, gekennzeichnet mit einem CVSS-Score von 9.1, behebt eine kritische Code-Injection-Schwachstelle im Administrator Log Viewer-Plug-in von SAP NetWeaver AS Java. Die Liste der verbotenen Dateitypen, die für die Upload-Funktionalität des Plug-ins definiert sind, ist unvollständig. Ein Angreifer könnte schädliche Dateien hochladen, was zu einer Sicherheitslücke durch Befehlsinjektion führt. Dies würde es dem Angreifer ermöglichen, Befehle auszuführen, die erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung haben können. Der Patch stellt eine erweiterte Liste verbotener Dateitypen bereit. Als zusätzliche Sicherheitsmaßnahme empfiehlt SAP die Aktivierung der Virenprüfung für den Upload.

The new Hohe Priorität SAP-Sicherheitshinweise

SAP-Sicherheitshinweis #3410615, gekennzeichnet mit einem CVSS-Score von 7.5, behebt eine Denial-of-Service-Schwachstelle in SAP HANA XS Classic und HANA XS Advanced. Der Hinweis erstreckt sich auf eine Reihe von SAP-Sicherheitshinweisen, die in den letzten Monaten veröffentlicht wurden und sich alle auf die Verwendung des HTTP/2-Protokolls im SAP Web Dispatcher beziehen. Der neue SAP-Sicherheitshinweis behebt eine Denial-of-Service-Schwachstelle, die im Zusammenhang mit der Verwendung von HTTP/2 besteht. Als vorübergehende Problemumgehung kann HTTP/2 deaktiviert werden.

SAP-Sicherheitshinweis #3414195, gekennzeichnet mit einem CVSS-Score von 7.2, behebt eine Path Traversal-Schwachstelle in SAP BusinessObjects Business Intelligence Platform. Die zentrale Verwaltungskonsole der Plattform verwendet eine anfällige Version von Apache Struts, die es hochprivilegierten Benutzern ermöglicht, einen großen Einfluss auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung zu haben.

Beitrag der Onapsis Research Labs

Die Onapsis Research Labs (ORL) unterstützten SAP beim Patchen von drei Information Disclosure-Schwachstellen in verschiedenen Anwendungen und Komponenten von SAP NetWeaver AS Java, die alle mit einem CVSS-Score von 5.3 gekennzeichnet waren.

SAP-Sicherheitshinweis #3425682 behebt eine Schwachstelle im Bereich Information Disclosure im Web Service Reliable Messaging (WSRM) von SAP NetWeaver AS Java. Das WSRM kann für einzelne Webservice-Methoden aktiviert werden, um sicherzustellen, dass der Nachrichtenaustausch korrekt durchgeführt wird – ohne dass Nachrichten verloren gehen oder dupliziert werden. Es gewährleistet einen zuverlässigen Nachrichtenaustausch, auch wenn die Verbindung zum Netzwerk unterbrochen wird. Unter bestimmten Bedingungen ermöglicht SAP NetWeaver WSRM einem Angreifer den Zugriff auf Informationen, die andernfalls eingeschränkt wären, was nur geringe Auswirkungen auf die Vertraulichkeit und keine Auswirkungen auf die Integrität und Verfügbarkeit der Anwendung hat.

Ähnliche Schwachstellen, die mit genau demselben CVSS-Vektor gekennzeichnet sind, werden für SAP NetWeaver Process Integration (Support-Webseiten) mit dem SAP-Sicherheitshinweis gepatcht #3434192 und SAP NetWeaver (Enterprise Portal) mit SAP-Sicherheitshinweis #3428847.

Zusammenfassung und Schlussfolgerung

Mit insgesamt zwölf neuen und aktualisierten SAP-Sicherheitshinweisen fällt der SAP-Patchday im März unterdurchschnittlich aus, es sind jedoch drei zu beachten HotNews Notizen und drei Hohe Prioritäty Hinweise erfordern besondere Aufmerksamkeit, einschließlich der beiden, die nur aktualisiert wurden.

SAP-Hinweis	Art	Beschreibung	Priorität	CVSS
3433192	Neu	[CVE-2024-22127] Code-Injection-Schwachstelle in SAP NetWeaver AS Java (Administrator Log Viewer-Plug-in) BC-JAS-ADM-LOG	HotNews	9,1
3417399	Neu	[CVE-2024-22133] Unsachgemäße Zugriffskontrolle im SAP Fiori Front End Server PA-FIO-LEA	Medium	4,6
3377979	Neu	[CVE-2024-27902] Cross-Site Scripting (XSS)-Schwachstelle in SAP NetWeaver AS ABAP, Anwendungen basierend auf SAPGUI für HTML (WebGUI) BC-FES-WGU	Medium	5,4
3434192	Neu	[CVE-2024-28163] Sicherheitslücke bezüglich der Offenlegung von Informationen in SAP NetWeaver Process Integration (Support-Webseiten) BC-XI-IBF-UI	Medium	5,3
3425274	Neu	[CVE-2019-10744] Code-Injection-Schwachstelle in Anwendungen, die mit SAP Build Apps erstellt wurden CA-LCA-ACP	HotNews	9,4
3425682	Neu	[CVE-2024-25644] Sicherheitslücke bezüglich der Offenlegung von Informationen in SAP NetWeaver (WSRM) BC-ESI-WS-JAV-RT	Medium	5,3
3428847	Neu	[CVE-2024-25645] Sicherheitslücke bezüglich der Offenlegung von Informationen in SAP NetWeaver (Enterprise Portal) EP-PIN-APF-OPR	Medium	5,3
3414195	Neu	[CVE-2023-50164] Path Traversal-Schwachstelle in SAP BusinessObjects Business Intelligence Platform (zentrale Managementkonsole) BI-BIP-CMC	High	7,2
3410615	Neu	[CVE-2023-44487] Denial of Service (DOS) in SAP HANA XS Classic und HANA XS Advanced HAN-AS-XS	High	7,5
2622660	Aktualisierung	Sicherheitsupdates für die Browsersteuerung Google Chromium, die mit dem SAP Business Client ausgeliefert werden BC-FES-BUS-DSK	HotNews	10,0
3419022	Neu	[CVE-2024-27900]Fehlende Autorisierungsprüfung in der SAP ABAP Platform BC-SRV-APS-APJ	Medium	4,3
3346500	Aktualisierung	[CVE-2023-39439] Unsachgemäße Authentifizierung in SAP Commerce Cloud CEC-SCC-PLA-PL	High	8,8

Onapsis Research Labs aktualisiert sich automatisch Die Onapsis-Plattform mit den neuesten Bedrohungsinformationen und Sicherheitsrichtlinien, damit unsere Kunden den sich ständig weiterentwickelnden Bedrohungen immer einen Schritt voraus sind und ihr Unternehmen schützen können.
Weitere Informationen zu den neuesten SAP-Sicherheitsproblemen und unseren kontinuierlichen Bemühungen, Wissen mit der Sicherheits-Community zu teilen, finden Sie in unserem frühere Patch Day-Blogs und Abonnieren Sie unseren monatlichen Defenders Digest-Newsletter.

By Thomas Fritsch