Aktuelle Patches

SAP NEWS: Patchday September 2023

Hier findet ihr eine Übersicht der SAP Security Notes für September 2023:

1. Score 10  (Hot News)

Nummer: 2622660

Sicherheitsupdates für Browser-Control Google Chromium in SAP Business Client

Beim Anzeigen von Webseiten in SAP Business Client mittels dieses Open-Source-Browser-Controls können sich verschiedene Schwachstellen, wie Speicherschäden, Offenlegung von Informationen usw. manifestieren.  Diese Schwachstellen können sich wie folgt auswirken:

  • Offenlegung von Systeminformationen oder  Systemabsturz
  • Auswirkung auf die Vertraulichkeit, Integrität und Verfügbarkeit eines Systems.
  • Ausnutzung der Informationen zur Durchführung von gezielten Angriffen mit ernsthaften Folgen.

2. Score 9.9   (Hot News)

Nummer: 3273480

[CVE-2022-41272] Falsche Zugriffskontrolle in SAP NetWeaver AS Java (benutzerdefinierte Suche)

Über offene Schnittstellen können von nicht  authentifizierter Angreifern Vorgänge ausgeführt werden, die Benutzer und Daten im gesamten System beeinträchtigen. Der Angreifer erhält vollen Lesezugriff auf Benutzerdaten und kann eingeschränkte Änderungen an Benutzerdaten vornehmen. Zudem kann die Performance des Systems negativ beeinflusst werden.

Dies kann der Vertraulichkeit großen Schaden zufügen und hat begrenzte Auswirkungen auf die Verfügbarkeit und Integrität der Anwendung.

3. Score 9.9   (Hot News)

Nummer: 3320355

[CVE-2023-40622] Schwachstelle bezüglich der Offenlegung von Informationen auf SAP-BusinessObjects-Business-Intelligence-Plattform (Promotion-Verwaltung)

Ein authentifizierten Angreifer kann mit Hilfe der Schwachstelle vertrauliche Informationen lesen, die normalerweise eingeschränkt sind. Vollumfänglich Gefährdung der Anwendung möglich. Starke Beeinträchtigung der Vertraulichkeit, Integrität und Verfügbarkeit möglich.

4. Score 9.9   (Hot News)

Nummer: 3245526

3245526 – [CVE-2023-25616] Code-Injection-Schwachstelle in SAP-Business-Objects-Business-Intelligence-Plattform (CMC) 

Mögliche Ausnutzung einer Code-Injection-Schwachstelle, die einem Angreifer Zugriff auf Ressourcen ermöglicht, für die zusätzliche Berechtigungen erforderlich sind. 

Starke Beeinträchtigung der Vertraulichkeit, Integrität und Verfügbarkeit des Systems

5. Score 9.8   (Hot News)

Nummer: 3340576

[CVE-2023-40309] Fehlende Berechtigungsprüfung in SAP CommonCryptoLib

Die Schwachstelle führt nicht die erforderlichen Authentifizierungsprüfungen durch, was zu fehlenden oder falschen Berechtigungsprüfungen für einen authentifizierten Benutzer führen kann. Dadurch ist eine Rechteausweitung möglich. Abhängig von der Anwendung und der jeweiligen Berechtigungsebene kann ein Angreifer Funktionen missbrauchen, die auf eine bestimmte Benutzergruppe beschränkt sind, und eingeschränkte Daten lesen, ändern oder löschen.

 

6. Score 8.7   (High priority)

Nummer: 3370490

[CVE-2023-42472] Schwachstelle mit Blick auf unzureichende Dateityp-Validierung in SAP-BusinessObjects-Business-Intelligence-Plattform (Web-Intelligence-HTML-Schnittstelle)

Die Schwachstelle ermöglicht es einem Berichtsersteller, Dateien aus dem lokalen System über das Netzwerk in den Bericht hochzuladen. Nach Ausnutzung der Schwachstelle kann der Angreifer sensible Daten lesen und ändern, was große Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung hat.

7. Score 7.5   (High priority)

Nummer: 3327896

[CVE-2023-40308] Speicherbeschädigungsschwachstelle in SAP CommonCryptoLib

Ein authentifizierten Angreifer kann durch eine Aufforderung an einen offenen Port einen Speicherbeschädigungsfehler in einer Bibliothek verursachen, der zu einem Absturz der Zielkomponente führt. Dadurch  ist sie nicht mehr verfügbar. 

8. Score 6.3   (Medium priority)

Nummer: 3357163

[CVE-2023-40621] Code-Injection-Schwachstelle in SAP-PowerDesigner-Client

Die Code-Injection-Schwachstelle ermöglicht es einem Angreifer ohne Berechtigungen, unbemerkt VBScript-Code in ein Dokument hineinzubringen. Durch das Öffnen des Dokumentes führt die Anwendung den Code im Namen des unwissenden Benutzers aus.

Durch die Aktivierung von Sicherheitsoptionen in der Anwendung, die nicht als Standard festgelegt sind, werden nicht vertrauenswürdige Skripte deaktiviert oder der Benutzer wird zu einer Bestätigung der Ausführung aufgefordert.

9. Score 6.2   (Medium priority)

Nummer: 3317702

[CVE-2023-40623] Beliebige Dateilöschung über Verzeichnisverknüpfung in SAP BusinessObjects Suite (Installationsprogramm)

Die Schwachstelle ermöglicht es dem Angreifer bei erfolgreicher Ausnutzung alle Betriebssystemdateien zu löschen. Dies hat eine eingeschränkte Auswirkung auf die Integrität und vollständig beeinträchtigt der Verfügbarkeit des Systems zur Folge.

10. Score 5.7   (Medium priority)

Nummer: 3349805

Denial-of-Service-Schwachstelle (DOS) aufgrund der Verwendung einer anfälligen Version von Commons FileUpload in SAP Quotation Management Insurance (FS-QUO)

 Die Schwachstelle ermöglicht es einem Angreifer mit geringen Rechten einen Angriff aus einem benachbarten Netzwerk starten.

11. Score 5.5   (Medium priority)

Nummer: 3323163

[CVE-2023-40624] Code-Injection-Schwachstelle in SAP NetWeaver AS ABAP (Anwendungen, die auf Unified Rendering basieren)

Ein Angreifer kann einen JavaScript-Code einschleusen, der in der Web-Anwendung ausgeführt werden kann und somit das Systemverhalten der Anwendung steuern.

12. Score 5.4  (Medium priority)

Nummer: 3326361

[CVE-2023-40625] Fehlende Berechtigungsprüfung in App „Einkaufskontrakte verwalten“

Durch die App werden nicht die erforderlichen Berechtigungsprüfungen für einen authentifizierten Benutzer durchgeführt. Ein Angreifer hat somit die Möglichkeit, unbeabsichtigte Aktionen ausführen. Dies führt zu einer Rechteausweitung, mit geringen Auswirkungen auf die Vertraulichkeit und Integrität ohne Auswirkungen auf die Verfügbarkeit des Systems.

13. Score 5.3   (Medium priority)

Nummer: 3352453

[CVE-2023-37489] Schwachstelle mit Blick auf Offenlegung von Informationen auf SAP-BusinessObjects-Business-Intelligence-Plattform (Versionsverwaltungssystem)

 Ein nicht authentifizierten Benutzer kann durch die Schwachstelle Code-Snippets über die UI lesen, was geringe Auswirkungen auf die Vertraulichkeit und keine Auswirkungen auf die Verfügbarkeit oder die Integrität der Anwendung hat.

14. Score 5.3   (Medium priority)

Nummer: 3348142

3348142 – [CVE-2023-41367] Fehlende Berechtigungsprüfung in SAP NetWeaver (Guided Procedures) – SAP for Me

Ein nicht autorisierter Benutzer kann anonym auf die Administratorsicht einer bestimmten Funktion zugreifen. Bei erfolgreicher Ausnutzung der Schwachstelle kann der Angreifer die E-Mail-Adresse des Benutzers anzeigen. Keine Auswirkungen auf die Integrität/Verfügbarkeit.

15. Score 3.5   (Low priority)

Nummer: 3369680

[CVE-2023-41369] External-Entity-Loop-Schwachstelle in SAP S/4HANA (Anwendung „Einzelzahlung anlegen“)

Durch die Anwendung kann ein authentifizierten Angreifer die XML-Datei als Anlage hochladen. Durch Anklicken der XML-Datei  im Anlagenabschnitt wird die Datei im Browser geöffnet, sodass die Entitätsschleifen den Browser verlangsamen.

16. Score 2.7   (Low priority)

Nummer: 3355675

[CVE-2023-41368] IDOR-Schwachstelle (unsichere direkte Objektreferenz) in SAP S/4HANA (Anwendung „Scheckhefte verwalten“)

Die  Anwendung ermöglicht es einem Angreifer mit erweiterten Rechten, den Scheckheftnamen zu ändern was sich teilweise auf die Integrität auswirkt.