SAP NEWS: Patchday Februar 2024
Bildnachweis: Firefly.com
Hier findet ihr eine Übersicht der SAP Security Notes für Februar 2024:
1. Score 10 (Hot News)
Nummer: 2622660
Sicherheitsupdates für Browser-Control Google Chromium in SAP Business Client
Ab SAP Business Client 6.5 PL5 können Sie das Browser-Control Chromium verwenden, um HTML-Content anzuzeigen. Sicherheitskorrekturen dafür werden über SAP-Business-Client-Patches bereitgestellt. Bei veralteten SAP-Business-Client-Releases können verschiedene Schwachstellen auftreten, darunter Speicherschäden und Offenlegung von Informationen. Dies kann die Vertraulichkeit, Integrität und Verfügbarkeit beeinträchtigen. Beachten Sie auch die Aussagen des Chrome-Sicherheitsdiensts zur Offenlegung von Schwachstellen. Wenn Sie ein anderes Browser-Control verwenden, lesen Sie den Sicherheitsleitfaden in der Dokumentation für SAP Business Client. CVSS-3.0-Scores entsprechen den NVD-Werten zum Zeitpunkt der Freigabe des entsprechenden SAP-Business-Client-Patches.
2. Score 9.1 (Hot News)
Nummer: 3420923
[CVE-2024-22131] Code-Injection-Schwachstelle in SAP ABA (Anwendungsbasis)
Ein Angreifer mit Remote-Ausführungsberechtigung kann über eine anfällige Schnittstelle eine Anwendungsfunktion aufrufen, um unautorisierte Aktionen auszuführen. Dadurch können Daten von Benutzern oder Unternehmen gelesen oder geändert werden, und das System kann möglicherweise unzugänglich gemacht werden.
3. Score 8.8 (High priority)
Nummer: 3417627
[CVE-2024-22126] Cross-Site-Scripting-Schwachstelle in SAP NetWeaver AS Java (Benutzerverwaltungsanwendung)
Die Benutzerverwaltungsanwendung von SAP NetWeaver AS for Java validiert und kodiert die eingehenden URL-Parameter nicht ausreichend, bevor sie in die Umleitungs-URL eingefügt werden. Dadurch entsteht eine Cross-Site-Scripting-Schwachstelle (XSS), die die Vertraulichkeit beeinträchtigt und leichte Auswirkungen auf die Integrität und Verfügbarkeit hat.
4. Score 8.6 (High priority)
Nummer: 3426111
[CVE-2024-24743] XXE-Schwachstelle in SAP NetWeaver AS Java (Guided Procedures)
Ein nicht authentifizierter Angreifer kann über das Netzwerk eine schädliche Anfrage mit einer erstellten XML-Datei an SAP NetWeaver AS Java (CAF – Guided Procedures) senden. Diese Anfrage ermöglicht es dem Angreifer, beim Parsen sensible Dateien und Daten einzusehen, ohne jedoch Änderungen daran vorzunehmen. Es gibt Einschränkungen bei der Erweiterung, um sicherzustellen, dass die Verfügbarkeit nicht beeinträchtigt wird.
5. Score 7.6 (High priority)
Nummer: 3410875
[CVE-2024-22130] Cross-Site-Scripting-Schwachstelle (XSS) in SAP CRM (WebClient UI)
Die Druckvorschau-Option im SAP-CRM-WebClient-UI kodiert benutzergesteuerte Eingaben nicht ausreichend, was zu einer Cross-Site-Scripting-Schwachstelle (XSS) führt. Ein Angreifer mit begrenzten Rechten kann durch erfolgreiche Ausnutzung dieser Schwachstelle die Vertraulichkeit und Integrität der Anwendungsdaten in gewissem Maße beeinträchtigen.
6. Score 7.4 (High priority)
Nummer: 3421659
[CVE-2024-22132] Code-Injection-Schwachstelle in SAP-IDES-Systemen
SAP-IDES-ECC-Systeme enthalten Code, der es einem Benutzer ermöglicht, beliebigen Programmcode auszuführen. Durch Ausnutzung dieser Schwachstelle kann ein Angreifer das Systemverhalten steuern, indem er schädlichen Code ausführt. Dieser Code kann möglicherweise Berechtigungen erlangen, die geringfügige Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit des Systems haben.
7. Score 7.4 (High priority)
Nummer: 3424610
[CVE-2024-25642] Falsche Zertifikatsvalidierung in SAP Cloud Connector
Aufgrund unzureichender Validierung des Zertifikats im SAP Cloud Connector besteht die Möglichkeit, dass ein Angreifer echte Server impersonieren kann, um mit SCC zu interagieren. Dadurch wird die gegenseitige Authentifizierung unterbrochen, was es dem Angreifer ermöglicht, Anfragen zum Anzeigen/Ändern sensibler Informationen abzufangen. Die Verfügbarkeit des Systems wird jedoch nicht beeinträchtigt.
8. Score 7.3 (High priority)
Nummer: 3385711
[CVE-2023-49580] Schwachstelle bezüglich der Offenlegung von Informationen in SAP NetWeaver Application Server ABAP
UPDATE 13. Februar 2024: Dieser SAP-Sicherheitshinweis wurde mit einem aktualisierten Titel, Symptomabschnitt und Informationen zur Ursache und Voraussetzungen erneut veröffentlicht, um genauere Einblicke in die Schwachstelle zu liefern.
In SAP NetWeaver Application Server ABAP kann ein nicht authentifizierter Angreifer über eine Sicherheitslücke auf beschränkte und vertrauliche Informationen zugreifen. Diese Schwachstelle ermöglicht es dem Angreifer auch, Layoutkonfigurationen des ABAP List Viewers zu manipulieren, was die Integrität und Verfügbarkeit des Systems beeinträchtigen kann.
9. Score 6.3 (Medium priority)
Nummer: 2637727
[CVE-2024-24739] Fehlende Berechtigungsprüfung in SAP Bank Account Management
SAP Bank Account Management (BAM) ermöglicht einem authentifizierten Benutzer mit begrenztem Zugriff die Nutzung bestimmter Funktionen, was zu einer geringfügigen Ausweitung der Rechte führen kann, die die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung beeinträchtigen könnte.
10. Score 5.4 (Medium priority)
Nummer: 3404025
[CVE-2024-22129] Cross-Site-Scripting-Schwachstelle (XSS) in SAP Companion
SAP Companion enthält eine URL mit einem anfälligen Parameter, der XSS-Angriffen ausgesetzt sein könnte. Ein Angreifer könnte einen schädlichen Link an einen Benutzer senden, was dazu führen könnte, dass sensible Informationen abgerufen werden und geringfügige Auswirkungen auf die Integrität der Webanwendung entstehen könnten.
11. Score 5.3 (Medium priority)
Nummer: 3360827
[CVE-2024-24740] Schwachstelle bezüglich der Offenlegung von Informationen in SAP NetWeaver Application Server ABAP (SAP-Kernel)
SAP NetWeaver Application Server (ABAP) kann es einem Angreifer unter bestimmten Bedingungen ermöglichen, auf normalerweise eingeschränkte Informationen zuzugreifen, was geringfügige Auswirkungen auf die Vertraulichkeit der Anwendung hat, jedoch keine Auswirkungen auf die Integrität und Verfügbarkeit der Anwendung.
12. Score 4.7 (Medium priority)
Nummer: 3396109
[CVE-2024-22128] Cross-Site-Scripting-Schwachstelle (XSS) in SAP NetWeaver Business Client for HTML
SAP NetWeaver Business Client for HTML überprüft benutzergesteuerte Eingaben unzureichend, was zu einer Cross-Site-Scripting-Schwachstelle (XSS) führt. Ein nicht authentifizierter Benutzer kann schädliches JavaScript einschleusen und dadurch die Vertraulichkeit und Integrität der Anwendungsdaten bis zu einem gewissen Grad beeinträchtigen.
13. Score 4.3 (Medium priority)
Nummer: 2897391
[CVE-2024-24741] Fehlende Berechtigungsprüfung in SAP Master Data Governance für Material
SAP Master Data Governance für Materialdaten führt für einen authentifizierten Benutzer keine ausreichende Berechtigungsprüfung durch, was zu einer Rechteausweitung führt. Dies könnte es einem Angreifer ermöglichen, sensible Informationen zu lesen, jedoch hätte dies keine Auswirkungen auf die Integrität und Verfügbarkeit.
14. Score 4.3 (Medium priority)
Nummer: 3237638
[CVE-2024-25643] Fehlende Berechtigungsprüfung in SAP Fiori App (Meine Mehrarbeitsanträge)
Die SAP Fiori App „Meine Mehrarbeitsanträge“ führt für einen authentifizierten Benutzer keine angemessenen Berechtigungsprüfungen durch, was zu einer Rechteausweitung führen kann. Durch die Manipulation der URLs der Datenanfragen ist es möglich, auf Informationen zuzugreifen, auf die der Benutzer keinen Zugriff haben sollte. Diese Schwachstelle hat keine Auswirkungen auf Integrität und Verfügbarkeit.
15. Score 4.1 (Medium priority)
Nummer: 3158455
[CVE-2024-24742] Cross-Site-Scripting-Schwachstelle (XSS) in SAP CRM (WebClient UI)
Im SAP-CRM-WebClient-UI erfolgt eine unzureichende Kodierung von benutzergesteuerten Eingaben, was zu einer Cross-Site-Scripting-Schwachstelle führt. Ein Angreifer mit geringen Rechten kann nach erfolgreicher Ausnutzung die Integrität der Anwendungsdaten bis zu einem gewissen Grad beeinträchtigen. Diese Schwachstelle hat keine Auswirkungen auf Vertraulichkeit und Verfügbarkeit.