Share
Beitragsbild zu SAP-Patchtag: März 2024

SAP-Patchtag: März 2024

Kritische Code-Injection-Schwachstelle in SAP NetWeaver AS Java

Zu den Höhepunkten der Analyse der SAP-Sicherheitshinweise im März gehören:

  • Zusammenfassung vom März Zwölf neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter drei HotNews Notizen und drei Hohe Priorität Notizen.
  • SAP NetWeaver AS Java im Fokus Eine kritische Schwachstelle durch Code-Injection und drei Schwachstellen in Bezug auf die Offenlegung von Informationen in verschiedenen Anwendungen und Komponenten.
  • Beitrag von Onapsis Research Labs Unser Team unterstützte SAP bei der Behebung dieser drei Information Disclosure-Schwachstellen.

SAP hat veröffentlicht zwölf neue und aktualisierte Sicherheitshinweise am März-Patchtag (einschließlich der Hinweise, die seit dem letzten Patch-Dienstag veröffentlicht oder aktualisiert wurden). Dazu gehört nach drei HotNews Notizen und drei High Priority Notizen.

Aktualisierte Hinweise im Detail

Einer der drei HotNews Notes ist der regelmäßig wiederkehrende SAP-Sicherheitshinweis #2622660 das ein Update für SAP Business Client bereitstellt, einschließlich der neuesten unterstützten Chromium-Patches. SAP Business Client unterstützt jetzt die Chromium-Version 121.0.6167.184, die insgesamt XNUMX Schwachstellen behebt, darunter zwei Kritisch und fünfzehn Hohe Priorität Schwachstellen. Der maximale CVSS-Wert aller behobenen Schwachstellen beträgt 9.8.

Hinweis mit hoher Priorität #3346500, gekennzeichnet mit einem CVSS-Score von 8.8, ist ein aktualisierter SAP-Sicherheitshinweis, der eine Schwachstelle durch unsachgemäße Authentifizierung in SAP Commerce Cloud behebt. Die Sicherheitslücke ermöglicht es Benutzern, sich ohne Passphrase am System anzumelden. SAP-Commerce-Cloud-Kunden sollten den Hinweis lesen, da SAP die Versionen der Fix-SAP-Commerce-Cloud-Builds aktualisiert hat.

The New HotNews Hinweise im Detail

SAP-Sicherheitshinweis #3425274, gekennzeichnet mit einem CVSS-Score von 9.4, betrifft alle Anwendungen, die mit SAP Build Apps-Versionen vor 4.9.145 erstellt wurden. Diese Versionen enthalten eine anfällige Version der Lodash-Dienstprogrammbibliothek, die es einem Angreifer ermöglicht, nicht autorisierte Befehle auf dem System auszuführen, was zu einer geringen Auswirkung auf die Vertraulichkeit führen und große Auswirkungen auf die Integrität und Verfügbarkeit der Anwendung haben kann. Das Problem kann gelöst werden, indem alle betroffenen Anwendungen mit SAP Build Apps Version 4.9.145 oder höher neu erstellt werden.

SAP-Sicherheitshinweis #3433192, gekennzeichnet mit einem CVSS-Score von 9.1, behebt eine kritische Code-Injection-Schwachstelle im Administrator Log Viewer-Plug-in von SAP NetWeaver AS Java. Die Liste der verbotenen Dateitypen, die für die Upload-Funktionalität des Plug-ins definiert sind, ist unvollständig. Ein Angreifer könnte schädliche Dateien hochladen, was zu einer Sicherheitslücke durch Befehlsinjektion führt. Dies würde es dem Angreifer ermöglichen, Befehle auszuführen, die erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung haben können. Der Patch stellt eine erweiterte Liste verbotener Dateitypen bereit. Als zusätzliche Sicherheitsmaßnahme empfiehlt SAP die Aktivierung der Virenprüfung für den Upload.

The new Hohe Priorität SAP-Sicherheitshinweise

SAP-Sicherheitshinweis #3410615, gekennzeichnet mit einem CVSS-Score von 7.5, behebt eine Denial-of-Service-Schwachstelle in SAP HANA XS Classic und HANA XS Advanced. Der Hinweis erstreckt sich auf eine Reihe von SAP-Sicherheitshinweisen, die in den letzten Monaten veröffentlicht wurden und sich alle auf die Verwendung des HTTP/2-Protokolls im SAP Web Dispatcher beziehen. Der neue SAP-Sicherheitshinweis behebt eine Denial-of-Service-Schwachstelle, die im Zusammenhang mit der Verwendung von HTTP/2 besteht. Als vorübergehende Problemumgehung kann HTTP/2 deaktiviert werden.

SAP-Sicherheitshinweis #3414195, gekennzeichnet mit einem CVSS-Score von 7.2, behebt eine Path Traversal-Schwachstelle in SAP BusinessObjects Business Intelligence Platform. Die zentrale Verwaltungskonsole der Plattform verwendet eine anfällige Version von Apache Struts, die es hochprivilegierten Benutzern ermöglicht, einen großen Einfluss auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung zu haben.

Beitrag der Onapsis Research Labs

Die Onapsis Research Labs (ORL) unterstützten SAP beim Patchen von drei Information Disclosure-Schwachstellen in verschiedenen Anwendungen und Komponenten von SAP NetWeaver AS Java, die alle mit einem CVSS-Score von 5.3 gekennzeichnet waren.

SAP-Sicherheitshinweis #3425682 behebt eine Schwachstelle im Bereich Information Disclosure im Web Service Reliable Messaging (WSRM) von SAP NetWeaver AS Java. Das WSRM kann für einzelne Webservice-Methoden aktiviert werden, um sicherzustellen, dass der Nachrichtenaustausch korrekt durchgeführt wird – ohne dass Nachrichten verloren gehen oder dupliziert werden. Es gewährleistet einen zuverlässigen Nachrichtenaustausch, auch wenn die Verbindung zum Netzwerk unterbrochen wird. Unter bestimmten Bedingungen ermöglicht SAP NetWeaver WSRM einem Angreifer den Zugriff auf Informationen, die andernfalls eingeschränkt wären, was nur geringe Auswirkungen auf die Vertraulichkeit und keine Auswirkungen auf die Integrität und Verfügbarkeit der Anwendung hat.

Ähnliche Schwachstellen, die mit genau demselben CVSS-Vektor gekennzeichnet sind, werden für SAP NetWeaver Process Integration (Support-Webseiten) mit dem SAP-Sicherheitshinweis gepatcht #3434192 und SAP NetWeaver (Enterprise Portal) mit SAP-Sicherheitshinweis #3428847.

Zusammenfassung und Schlussfolgerung

Mit insgesamt zwölf neuen und aktualisierten SAP-Sicherheitshinweisen fällt der SAP-Patchday im März unterdurchschnittlich aus, es sind jedoch drei zu beachten HotNews Notizen und drei Hohe Prioritäty Hinweise erfordern besondere Aufmerksamkeit, einschließlich der beiden, die nur aktualisiert wurden.

SAP-Hinweis Art Beschreibung Priorität CVSS
3433192 Neu [CVE-2024-22127] Code-Injection-Schwachstelle in SAP NetWeaver AS Java (Administrator Log Viewer-Plug-in)

BC-JAS-ADM-LOG

HotNews 9,1
3417399 Neu [CVE-2024-22133] Unsachgemäße Zugriffskontrolle im SAP Fiori Front End Server

PA-FIO-LEA

Medium 4,6
3377979 Neu [CVE-2024-27902] Cross-Site Scripting (XSS)-Schwachstelle in SAP NetWeaver AS ABAP, Anwendungen basierend auf SAPGUI für HTML (WebGUI)

BC-FES-WGU

Medium 5,4
3434192 Neu [CVE-2024-28163] Sicherheitslücke bezüglich der Offenlegung von Informationen in SAP NetWeaver Process Integration (Support-Webseiten)

BC-XI-IBF-UI

Medium 5,3
3425274 Neu [CVE-2019-10744] Code-Injection-Schwachstelle in Anwendungen, die mit SAP Build Apps erstellt wurden

CA-LCA-ACP

HotNews 9,4
3425682 Neu [CVE-2024-25644] Sicherheitslücke bezüglich der Offenlegung von Informationen in SAP NetWeaver (WSRM)

BC-ESI-WS-JAV-RT

Medium 5,3
3428847 Neu [CVE-2024-25645] Sicherheitslücke bezüglich der Offenlegung von Informationen in SAP NetWeaver (Enterprise Portal)

EP-PIN-APF-OPR

Medium 5,3
3414195 Neu [CVE-2023-50164] Path Traversal-Schwachstelle in SAP BusinessObjects Business Intelligence Platform (zentrale Managementkonsole)

BI-BIP-CMC

High 7,2
3410615 Neu [CVE-2023-44487] Denial of Service (DOS) in SAP HANA XS Classic und HANA XS Advanced

HAN-AS-XS

High 7,5
2622660 Aktualisierung Sicherheitsupdates für die Browsersteuerung Google Chromium, die mit dem SAP Business Client ausgeliefert werden

BC-FES-BUS-DSK

HotNews 10,0
3419022 Neu [CVE-2024-27900]Fehlende Autorisierungsprüfung in der SAP ABAP Platform

BC-SRV-APS-APJ

Medium 4,3
3346500 Aktualisierung [CVE-2023-39439] Unsachgemäße Authentifizierung in SAP Commerce Cloud

CEC-SCC-PLA-PL

High 8,8

Onapsis Research Labs aktualisiert sich automatisch Die Onapsis-Plattform mit den neuesten Bedrohungsinformationen und Sicherheitsrichtlinien, damit unsere Kunden den sich ständig weiterentwickelnden Bedrohungen immer einen Schritt voraus sind und ihr Unternehmen schützen können.
Weitere Informationen zu den neuesten SAP-Sicherheitsproblemen und unseren kontinuierlichen Bemühungen, Wissen mit der Sicherheits-Community zu teilen, finden Sie in unserem frühere Patch Day-Blogs und Abonnieren Sie unseren monatlichen Defenders Digest-Newsletter.

By Thomas Fritsch

Source: Onapsis-Blog

Sie haben Fragen? Ihr Ansprechpartner für D/A/CH

Do you have any questions? Your contact person for D/A/CH

Thomas Fritsch, Onapsis

Firma zum Thema

onapsis

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden