SAP NEWS: Patchday Dezember 2023
Hier findet ihr eine Übersicht der SAP Security Notes für Dezember2023:
1. Score 10 (Hot News)
Nummer: 2622660
Sicherheitsupdates für Browser-Control Google Chromium in SAP Business Client
Dieser SAP-Hinweis behandelt mehrere Schwachstellen im Drittanbieter-Webbrowser-Control Chromium, das in SAP Business Client genutzt wird. Der Hinweis wird regelmäßig aktualisiert, entsprechend den Chromium-Webbrowser-Updates. Weitere Informationen sind im Lösungsabschnitt verfügbar.
Einige bekannte Auswirkungen dieser Schwachstellen:
- Offenlegung von Systeminformationen oder im schlimmsten Fall Systemabsturz
- Die Schwachstellen können sich direkt auf die Vertraulichkeit, Integrität und Verfügbarkeit eines Systems auswirken.
- Diese Informationen können dann verwendet werden, um gezielt weitere Angriffe durchzuführen, möglicherweise mit weiteren ernsthaften Folgen.
2. Score 9.1 (Hot News)
Nummer: 3411067
Ein FAQ-Dokument wurde im Referenzabschnitt hinzugefügt. Es sind keine Änderungen erforderlich, sofern die Patches bereits installiert wurden.
Die Integrationsbibliotheken und Programmierinfrastrukturen von SAP BTP Security Services können unter bestimmten Bedingungen zu einer Rechteausweitung führen. Dies betrifft alle Kunden mit Anwendungen, die auf SAP BTP entwickelt wurden, außer in der BTP-Neo-Umgebung, wo sie technisch genutzt werden könnten.
Die Bibliotheken werden für Authentifizierungs- und Berechtigungsprüfungen aufgerufen und müssen vom Entwicklungsteam der betroffenen Anwendung (SAP oder Kunden) gepatcht werden.
3. Score 9.1 (Hot News)
Nummer: 3399691
Dieser Sicherheitshinweis ist eine Aktualisierung von 3350297 und betrifft die Komponente IS-OIL-DS-HPM. Die im vorherigen Hinweis bereitgestellte Korrektur war unvollständig.
Kunden, die 3350297 installiert haben, sollten auch diesen Hinweis einspielen. Ein Programmfehler in IS-OIL ermöglicht einem authentifizierten Angreifer, beliebige Betriebssystembefehle einzuschleusen und Systemdaten zu lesen, zu ändern oder das System herunterzufahren.
4. Score 8.1 (High priority)
Nummer: 3394567
[CVE-2023-42481] Schwachstelle bezüglich ungeeigneter Zugriffskontrollen in SAP Commerce Cloud
Dieser Sicherheitshinweis ist eine Aktualisierung von 3350297 und betrifft die Komponente IS-OIL-DS-HPM. Die im vorherigen Hinweis bereitgestellte Korrektur war unvollständig.
In SAP Commerce Cloud kann ein gesperrter B2B-Benutzer die Funktion für vergessene Kennwörter missbräuchlich nutzen, um sein Benutzerkonto zu entsperren, insbesondere bei Verwendung von SAP Commerce Cloud – Composable Storefront als Storefront. Die vorhandenen Zugriffskontrollen sind hierbei zu schwach. Dies stellt ein erhebliches Risiko für Vertraulichkeit und Integrität dar.
6. Score 7.5 (High priority)
Nummer: 3382353
Die SAP BusinessObjects Business Intelligence Plattform ist anfällig für gespeicherte XSS-Angriffe, bei denen ein Angreifer agnostische Dokumente hochladen kann. Das Öffnen dieser Dokumente durch andere Benutzer kann zu erheblichen Beeinträchtigungen der Anwendungsintegrität führen.
7. Score 7.3 (High priority)
Nummer: 3385711
SAP GUI for Windows und SAP GUI for Java weisen eine Schwachstelle auf, durch die ein nicht authentifizierter Angreifer auf normalerweise eingeschränkte und vertrauliche Informationen zugreifen kann. Zudem ermöglicht die Schwachstelle dem Angreifer, Layoutkonfigurationen des ABAP List Viewers zu erstellen, was negative Auswirkungen auf Integrität und Verfügbarkeit hat, beispielsweise erhöhte Antwortzeiten des AS ABAP.
8. Score 7.1 (High priority)
Nummer: 3406244
[CVE-2023-6542] Fehlende Berechtigungsprüfung in SAP EMARSYS SDK ANDROID
Das Emarsys SDK für Android weist aufgrund fehlender ordnungsgemäßer Berechtigungsprüfungen eine Schwachstelle auf. Ein Angreifer mit lokalem Zugriff kann eine bestimmte Activity aufrufen und Webseiten sowie/oder Deep Links ohne Validierung direkt aus der Host-Anwendung weiterleiten. Ein erfolgreicher Angriff ermöglicht dem Angreifer die Navigation zu beliebigen URLs, einschließlich Deep Links der Anwendung auf dem Gerät. Dies kann schwerwiegende Auswirkungen auf Vertraulichkeit und Integrität haben, abhängig von der aufgerufenen Anwendung.
9. Score 6.8 (Medium priority)
Nummer: 3369353
[CVE-2023-42476] Cross-Site-Scripting-Schwachstelle in SAP BusinessObjects Web Intelligence
Mit SAP BusinessObjects Web Intelligence kann ein authentifizierter Angreifer JavaScript-Code in Dokumente einfügen, der bei jedem Seitenaufruf im Browser des Opfers ausgeführt wird. Dies könnte zu einer Offenlegung von Daten führen, einschließlich potenziell sensibler Informationen aus Reporting-Datenbanken.
10. Score 6.4 (Medium priority)
Nummer: 3395306
[CVE-2023-49587] Command-Injection-Schwachstelle in SAP Solution Manager
Ein autorisierter Angreifer kann durch SAP Solution Manager 7.2 bestimmte veraltete Funktionsbausteine ausführen. Diese Bausteine erlauben das Lesen oder Ändern von Daten derselben oder einer anderen Komponente über das Netzwerk, ohne dass Benutzerinteraktion erforderlich ist.
11. Score 6.1 (Medium priority)
Nummer: 3217087
[CVE-2023-42479] Cross-Site-Scripting-(XSS)-Schwachstelle in SAP Biller Direct
Die SAP-HCM-Lösung (SMART PAYE) weist aufgrund unzureichender Codierung benutzergesteuerter Eingaben eine Cross-Site-Scripting-Schwachstelle (XSS) auf. Ein Angreifer kann nach erfolgreicher Ausnutzung begrenzte Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung haben.
12. Score 6.1 (Medium priority)
Nummer: 3383321
[CVE-2023-49577] Cross-Site-Scripting-Schwachstelle (XSS) in der SAP-HCM-Lösung (SMART PAYE)
Ein nicht authentifizierter Angreifer kann eine Biller-Direct-URL in einen Frame einbetten und so einen verdeckten Zugriff ermöglichen. Wenn dieser Frame vom Benutzer geladen wird, erfolgt eine Cross-Site-Scripting-Anfrage an das Biller Direct-System, was zu einer Offenlegung oder Änderung von nicht sensiblen Informationen führen kann.
13. Score 5.3 (Medium priority)
Nummer: 3159329
Denial-of-Service-Schwachstelle (DoS) in JSZIP-Bibliothek in SAPUI5 gebündelt
Durch eine modifizierte Version der JSZIP-Bibliothek, die in SAPUI5 verwendet wird, kann ein Angreifer legitime Benutzer daran hindern, eine neue ZIP-Datei anzulegen. Dies könnte geringe Auswirkungen auf die Verfügbarkeit haben.
14. Score 4.3 (Medium priority)
Nummer: 3406786
[CVE-2023-49584] Client-seitige Desynchronisationsschwachstelle in SAP Fiori Launchpad – SAP for Me
Ein authentifizierter Benutzer kann im SAP Fiori Launchpad das HTTP-Verb POST für einen schreibgeschützten Service verwenden, was geringe Auswirkungen auf die Vertraulichkeit der Anwendung hat.
15. Score 4.1 (Medium priority)
Nummer: 3392547
In SAP NetWeaver Application Server ABAP und der ABAP-Plattform kann ein Angreifer mit Entwickler- oder DB-Administrationsberechtigungen einen Funktionsbaustein aufrufen, der als Parameter für eine nachfolgende SQL-Anweisung verwendet wird. Dadurch wird die Anwendung anfällig für eine SQL-Injection, bei der im Erfolgsfall nicht sensible Datenbankmetadaten gelesen oder verändert werden können, was zu Unzugänglichkeit von zugehörigen Geschäftsdaten führen kann.
16. Score 3.5 (Low priority)
Nummer: 3363690
[CVE-2023-49058] Directory-Traversal-Schwachstelle in SAP Master Data Governance
Die Datei-Upload-Anwendung von SAP Master Data Governance weist eine Sicherheitslücke auf, bei der ein Angreifer die unzureichende Validierung von Pfadinformationen ausnutzen kann, die von Benutzern bereitgestellt wurden. Dies ermöglicht das Einschleusen von Zeichen in die Datei-APIs, was wiederum einen Wechsel zum übergeordneten Verzeichnis erlaubt. Die Auswirkungen auf die Vertraulichkeit sind dabei gering.
17. Score 3.5 (Low priority)
Nummer: 3362463
[CVE-2023-49578] Denial-of-Service (DoS) in SAP Cloud Connector
Ein authentifizierter Benutzer mit begrenzten Berechtigungen kann mittels SAP Cloud Connector von einer benachbarten UI aus einen Denial-of-Service-Angriff durchführen, indem er eine schädliche Anfrage sendet. Dies hat einen geringfügigen Einfluss auf die Verfügbarkeit, jedoch keine Auswirkungen auf die Vertraulichkeit oder Integrität der Anwendung.