SAP NEWS: Patchday Januar 2024
Hier findet ihr eine Übersicht der SAP Security Notes für Januar 2024:
1. Score 9.1 (Hot News)
Nummer: 3413475
[Mehrere CVEs] Rechteausweitung in SAP Edge Integration Cell
Unter bestimmten Voraussetzungen kann SAP Edge Integration Cell durch Schwachstellen (CVE-2023-49583 und CVE-2023-50422) Sicherheitslücken aufweisen. Ein nicht authentifizierter Angreifer könnte dadurch uneingeschränkte Zugriffsrechte in der Anwendung erlangen.
2. Score 9.1 (Hot News)
Nummer: 3412456
[CVE-2023-49583] Eskalation von Berechtigungen in Anwendungen, die mit SAP Business Application Studio, SAP Web IDE Full-Stack und SAP Web IDE for SAP HANA entwickelt wurden
SAP Business Application Studio, SAP Web IDE Full-Stack und SAP Web IDE für SAP HANA:
In bestimmten Situationen können node.js-Anwendungen, die über die genannten Entwicklungsumgebungen erstellt wurden und für das Deployment in SAP BTP- oder Cloud-Foundry-Umgebungen vorgesehen sind, aufgrund von CVE-2023-49583
3. Score 8.4 (High priority)
Nummer: 3411869
[CVE-2024-21737] Code-Injection-Schwachstelle in SAP Application Interface Framework (Datei-Adapter)
Im Datei-Adapter des SAP Application Interface Framework kann ein Nutzer mit erhöhten Berechtigungen einen Funktionsbaustein verwenden, um verschiedene Ebenen zu durchlaufen und Betriebssystembefehle direkt auszuführen. Dies ermöglicht es einem solchen Benutzer, das Verhalten der Anwendung zu steuern. Diese Sicherheitslücke hat erhebliche Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit.
4. Score 7.5 (High priority)
Nummer: 3389917
[CVE-2023-44487] Denial-of-Service (DOS) in SAP Web Dispatcher, SAP NetWeaver Application Server ABAP und ABAP-Plattform
SAP Web Dispatcher, SAP NetWeaver Application Server ABAP und die ABAP-Plattform erlauben einem nicht authentifizierten Benutzer durch viele HTTP/2-Anfragen eine Netzwerk-DoS-Attacke. Diese Anfragen können später abgebrochen werden, was zu einer Überlastung des Speichers führt und die Anwendungsverfügbarkeit erheblich beeinträchtigen kann. Die Vertraulichkeit oder Integrität der Anwendung bleibt dabei unberührt.
5. Score 7.4 (High priority)
Nummer: 3386378
[CVE-2024-22125] Schwachstelle mit Blick auf Offenlegung von Informationen in Microsoft-Edge-Browsererweiterung (SAP GUI Connector für Microsoft Edge)
Unter bestimmten Umständen kann die Microsoft Edge Browser-Erweiterung (SAP GUI Connector für Microsoft Edge) einem Angreifer den Zugriff auf hochsensible Informationen ermöglichen, die normalerweise beschränkt wären. Dies stellt eine erhebliche Gefahr für die Vertraulichkeit dar.
6. Score 7.3 (High priority)
Nummer: 3407617
[CVE-2024-21735] Falsche Berechtigungsprüfung in SAP Landscape Transformation Replication Server
Die SAP Landscape Transformation Replication Server weist eine Schwachstelle auf, da erforderliche Berechtigungsprüfungen nicht ordnungsgemäß durchgeführt werden. Dies ermöglicht einem Angreifer mit erhöhten Berechtigungen die Durchführung unbeabsichtigter Aktionen, was zu einer potenziellen Rechteausweitung führt. Diese Sicherheitslücke hat erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit des Systems.
7. Score 6.4 (Medium priority)
Nummer: 3260667
[CVE-2024-21736] Fehlende Berechtigungsprüfung in SAP S/4HANA Finance für die erweiterte Zahlungsverwaltung
Die erweiterte Zahlungsverwaltung von SAP S/4HANA Finance weist eine Sicherheitslücke auf, da die notwendigen Berechtigungsprüfungen nicht ordnungsgemäß durchgeführt werden. Dies ermöglicht einem Angreifer die Initiierung eines Funktionsimports, der es ihm ermöglicht, Inhouse-Bankkonten zu erstellen. Obwohl die Auswirkungen auf die Vertraulichkeit der Anwendung als gering eingestuft werden, stellt diese Schwachstelle dennoch ein potenzielles Risiko dar.
8. Score 5.3 (Medium priority)
Nummer: 3324732
[CVE-2023-31405] Log-Injection-Schwachstelle in SAP NetWeaver AS für Java (Log Viewer)
Update vom 9. Januar 2024: Der Hinweis wurde mit geringfügigen Textänderungen im Abschnitt „Lösung“ erneut veröffentlicht. Es sind keine Kundenaktionen erforderlich.
Update vom 10. Oktober 2023: Die im Hinweis bereitgestellte Lösung ist für ENGINEAPI 7.50 unvollständig. Um das Problem vollständig zu beheben, wenden Sie den SAP-Sicherheitshinweis 3371873 an.
SAP NetWeaver AS für Java weist eine Sicherheitslücke auf, die es einem nicht authentifizierten Angreifer ermöglicht, eine Anfrage über das Netzwerk zu erstellen. Dies kann zu unerwarteten Änderungen an einem Systemprotokoll ohne Benutzerinteraktion führen. Es sind jedoch keine Auswirkungen auf die Verfügbarkeit oder Vertraulichkeit der Anwendung zu verzeichnen.
9. Score 4.1 (Medium priority)
Nummer: 3392626
[CVE-2024-22124] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP NetWeaver Internet Communication Manager
In bestimmten Szenarien erlauben der Internet Communication Manager (ICM) oder der SAP Web Dispatcher einem Angreifer den Zugriff auf eigentlich eingeschränkte Informationen. Dies stellt eine erhebliche Beeinträchtigung der Vertraulichkeit dar.
10. Score 4.1 (Medium priority)
Nummer: 3387737
[CVE-2024-21738] Cross-Site-Scripting-Schwachstelle (XSS) in SAP NetWeaver Application Server ABAP und ABAP-Plattform
SAP NetWeaver Application Server ABAP und die ABAP-Plattform weisen eine unzureichende Kodierung von benutzergesteuerten Eingaben auf, was zu einer Cross-Site-Scripting-Schwachstelle (XSS) führt. Bei erfolgreicher Ausnutzung dieser Schwachstelle kann ein Angreifer mit begrenzten Rechten die Vertraulichkeit der Anwendungsdaten in gewissem Maße beeinträchtigen.
11. Score 3.7 (Low priority)
Nummer: 3190894
[CVE-2024-21734] URL-Umleitungsschwachstelle in SAP Marketing (App „Kontakte“)
Die SAP-Marketing-App „Kontakte“ weist eine Sicherheitslücke auf, die es einem Angreifer mit begrenzten Berechtigungen erlaubt, einen Benutzer dazu zu verleiten, eine schädliche Seite zu öffnen. Dies kann zu einem äußerst überzeugenden Phishing-Angriff führen, wobei die Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung als gering einzustufen sind.