Cross-Site Scripting wird nie alt
Zu den Highlights der Analyse der SAP-Sicherheitshinweise im Juni gehören dreizehn neue und aktualisierte SAP-Sicherheitspatches, darunter vier Hinweise mit hoher Priorität. Cross-Site Scripting (XSS) war die beliebteste Schwachstelle. Es wurden acht Hinweise veröffentlicht, die diese Schwachstelle in verschiedenen Komponenten beheben. Darunter sind zwei von vier Hinweisen mit hoher Priorität und diesmal keine Hot News. Diesen Monat haben die Onapsis Research Labs dazu beigetragen, eine Schwachstelle zu beheben, die das Transport Management System betrifft und zu einem Denial of Service führen kann.
Zwei der High Priority Notes, #3326210 und #3324285, betreffen die SAPUI5 Komponente. Der erste Hinweis wurde am Patch Day im Mai veröffentlicht und wird nun mit einer aktualisierten Lösung und einem Workaround erneut veröffentlicht. Der zweite Hinweis ist einer der acht XSS-Sicherheitshinweise und betrifft das UI5-Management.
Hochwichtige SAP-Sicherheitshinweise im Detail
Neue SAP-Sicherheitshinweise mit hoher Priorität
SAP Security Note #3324285, mit einem CVSS Score von 8.2, behebt ein Problem in UI5 Varian Management, das zu einer Stored Cross-Site Scripting (Stored XSS) Schwachstelle führen kann. Diese Schwachstelle ermöglicht es einem Angreifer, Zugriff auf Benutzerebene zu erlangen und die Vertraulichkeit, Integrität und Verfügbarkeit der UI5-Variantenmanagement-Anwendung zu gefährden.
Der zweite neue SAP-Sicherheitshinweis mit hoher Priorität ist #3301942. Dieser Hinweis ist mit einem CVSS-Score von 7.9 gekennzeichnet. Diese Schwachstelle ermöglicht es einem Angreifer, eine Verbindung zu SAP Plant Connectivity und Production Connector for SAP Digital Manufacturing ohne gültiges JSON Web Token (JWT) herzustellen und so deren Integrität und Integration mit SAP Digital Manufacturing zu gefährden. Um diese Schwachstelle vollständig zu beheben, müssen beide Komponenten gepatcht und die JWT-Signaturvalidierung in den Cloud Connector-Einstellungen konfiguriert werden.
Updates in zuvor veröffentlichten SAP-Sicherheitshinweisen mit hoher Priorität
Der SAP-Sicherheitshinweis #3326210, der mit einem CVSS-Score von 7.1 gekennzeichnet ist, wurde erstmals am Patch Day im Mai veröffentlicht und wird an diesem Patch Day aktualisiert. Der Hinweis behebt eine Schwachstelle in der sap.m.FormattedText SAPUI5-Steuerung, die es einem Angreifer ermöglicht, die Daten eines Benutzers durch einen Phishing-Angriff zu lesen oder zu verändern. Das Update enthält nur geringfügige textliche oder strukturelle Änderungen und fügt Unterstützung für SAP NetWeaver 7.58 hinzu.
Die übrigen aktualisierten Hinweise mit hoher Priorität enthalten ebenfalls kleinere textliche oder strukturelle Aktualisierungen. SAP Security Note #3102769, mit einem CVSS-Score von 8.8, enthält einen Patch für eine kritische Cross-Site-Scripting-Schwachstelle in SAP Knowledge Warehouse. Er enthält auch einen Workaround, der die Deaktivierung der anfälligen Anzeigekomponente beschreibt. Neue Patch-Level-Patches werden für SAP NetWeaver 7.31 und 7.40 veröffentlicht.
Cross-Site Scripting SAP Sicherheitshinweise
Trotz der Tatsache, dass es nur zwei SAP-Sicherheitshinweise mit hoher Priorität gibt, die eine Cross-Site-Scripting-Schwachstelle beheben, ist es erwähnenswert, dass sechs SAP-Sicherheitshinweise mit mittlerer Priorität an diesem Juni-Patch-Day veröffentlicht werden.
Die SAP-Sicherheitshinweise #3319400 und #3315971 wurden erstmals am Patch Day im Mai veröffentlicht und sind nun aktualisiert worden. Der erste Hinweis besagt, dass SAP Business Object 4.2 nicht von der Sicherheitslücke betroffen ist und entfernt diese Version von der Liste der betroffenen Versionen. Anders verhält es sich mit dem Hinweis #3315971 und dem Problem in SAP CRM. In diesem Fall warnt SAP die Anwender vor der Vollständigkeit des Fixes und empfiehlt die Implementierung des SAP Sicherheitshinweises #3322800, der ebenfalls an diesem Patch Day veröffentlicht wurde.
Die SAP Sicherheitshinweise #2826092, #3331627 und #3318657 beheben jeweils eine Cross-Site Scripting Schwachstelle in SAP CRM Grantor Management, SAP Enterprise Portal und Design Time Repository. SAP-Hinweis #3318657 ist mit einem CVSS-Score von 6.4 gekennzeichnet, die beiden anderen mit einem Score von 6.1. Der Patch für alle drei erfordert lediglich eine Aktualisierung der betroffenen Komponente.
Weiterer Beitrag der Onapsis Research Labs
Die Onapsis Research Labs haben bis einschließlich Juni nun Forschungsbeiträge für SAP für siebenunddreißig Patches im Jahr 2023 geliefert. Der Beitrag in diesem Monat bezieht sich auf ein Problem im Transport Management System.
Ein Standardreport kann dazu verwendet werden, eine beliebige Anzahl von Transportaufträgen zu generieren und zu exportieren, wobei jeder dieser Aufträge mehrere Objekte enthält und jedes Objekt mehrere Schlüssel hat. Jeder Schlüssel erzeugt mehrere Zeilen in der entsprechenden Protokolldatei des Transportexports.
Wenn er missbraucht wird, kann ein Angreifer
- den Nummernkreis für Transportaufträge überschwemmen, bis er voll ist und somit überhaupt keine Transporte mehr erstellt werden können
- die Festplatte, auf der sich das Transportverzeichnis befindet, volllaufen lassen. Wird ein zentrales Transportverzeichnis für mehrere Systemlandschaften verwendet, oder ist die Platte Teil eines zentralen Dateiservers und wird für andere Anwendungen genutzt, so werden auch diese nicht mehr verfügbar sein.
Dieses Problem wird im SAP-Sicherheitshinweis #3325642 behoben und besteht darin, diesen Standardbericht zu entfernen.
Zusammenfassung und Fazit
Mit dreizehn neuen und aktualisierten SAP-Sicherheitshinweisen, darunter vier High Priority-Hinweise und keine HotNews-Hinweise, ist der Juni-Patch-Day von SAP nicht so arbeitsreich wie andere. Besondere Aufmerksamkeit sollte dem neu veröffentlichten Hinweis #3315971 und dem dazugehörigen Update #3322800 geschenkt werden, um die XSS-Schwachstelle in SAP CRM vollständig zu beheben.
SAP Note |
Type |
Description |
Priority |
CVSS |
3319400 |
Update |
[CVE-2023-31406] Cross-Site Scripting (XSS) vulnerability in SAP BusinessObjects Business Intelligence platform EP-PIN-NAV |
Medium |
6,1 |
2826092 |
New |
[CVE-2023-33986] Cross-Site Scripting (XSS) vulnerability in SAP CRM ABAP (Grantor Management) CA-UI5-CTR-BAL |
Medium |
6,1 |
3318657 |
New |
[CVE-2023-33984] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver (Design Time Repository) BC-CTS-TMS-CTR |
Medium |
6,4 |
3331627 |
New |
[CVE-2023-33985] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver (Enterprise Portal) CA-UI5-COR |
Medium |
6,1 |
3325642 |
New |
[CVE-2023-32114] Denial of Service in SAP NetWeaver (Change and Transport System) CA-WUI-UI-TAG |
Low |
2,7 |
3326210 |
Update |
[CVE-2023-30743] Improper Neutralization of Input in SAPUI5 BI-BIP-INV |
High |
7,1 |
3324285 |
New |
[CVE-2023-33991] Stored Cross-Site Scripting vulnerability in SAP UI5 (Variant Management) BC-CTS-DTR |
High |
8,2 |
3322800 |
New |
Update 1 to security note 3315971 – [CVE-2023-30742] Cross-Site Scripting (XSS) vulnerability in SAP CRM (WebClient UI) CA-WUI-UI-TAG |
Medium |
6,1 |
3315971 |
Update |
[CVE-2023-30742] Cross-Site Scripting (XSS) vulnerability in SAP CRM (WebClient UI) MFG-PCO-DMC |
Medium |
6,1 |
3102769 |
Update |
[CVE-2021-42063] Cross-Site Scripting (XSS) vulnerability in SAP Knowledge Warehouse LO-MD-BP |
High |
8,8 |
3142092 |
Update |
[CVE-2022-22542] Information Disclosure vulnerability in SAP S/4HANA (Supplier Factsheet and Enterprise Search for Business Partner, Supplier and Customer) KM-KW-HTA |
Medium |
6,5 |
1794761 |
New |
[CVE-2023-32115] SQL Injection in Master Data Synchronization (MDS COMPARE TOOL) CRM-IPS-BTX-APL |
Medium |
4,2 |
3301942 |
New |
[CVE-2023-2827] Missing Authentication in SAP Plant Connectivity and Production Connector for SAP Digital Manufacturing AP-MD-BF-SYN |
High |
7,9 |
Onapsis Research Labs aktualisiert die Onapsis-Plattform automatisch mit den neuesten Bedrohungsdaten und Sicherheitsrichtlinien, damit unsere Kunden den sich ständig weiterentwickelnden Bedrohungen einen Schritt voraus sind und ihr Unternehmen schützen können.
Source: Onapsis-Blog
Sie haben Fragen? Ihr Ansprechpartner für D/A/CH
Do you have any questions? Your contact person for D/A/CH