Bildnachweis: Firefly.com
Hier findet ihr eine Übersicht der SAP Security Notes für März 2024:
1. Score 10 (Hot News)
Nummer: 2622660
Sicherheitsupdates für Browser-Control Google Chromium in SAP Business Client
Update 12. März 2024: Dieser Sicherheitshinweis wurde in den Abschnitten „Lösung“ und „Support-Packages-Patches“ aktualisiert und erneut veröffentlicht.
Es geht um Schwachstellen im Drittanbieter-Webbrowser-Control Chromium, das im SAP Business Client verwendet wird. Dieser Hinweis wird regelmäßig aktualisiert entsprechend den Updates des Open-Source-Projekts Chromium. Weitere Details finden Sie im Lösungsabschnitt.
Die Priorität dieses Hinweises basiert auf dem höchsten CVSS-Wert aller Schwachstellen im neuesten Browser-Release.
Ab SAP Business Client 6.5 PL5 wird das Browser-Control Chromium für die Anzeige von HTML-Content verwendet. Da dieses Control in SAP Business Client integriert wird, werden Sicherheitskorrekturen über SAP-Business-Client-Patches bereitgestellt. Wenn das SAP-Business-Client-Release nicht auf dem aktuellen Patch-Level ist, können Schwachstellen auftreten, wie z.B. Speicherschäden oder Offenlegung von Informationen, beim Anzeigen von Webseiten. Einige Auswirkungen sind:
- Offenlegung von Systeminformationen oder sogar Systemabsturz
- Direkte Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit eines Systems
- Möglicher Einsatz dieser Informationen für weitere Angriffe mit ernsthaften Folgen
2. Score 9.4 (Hot News)
Nummer: 3425274
[CVE-2019-10744] Code-Injection-Schwachstelle in Anwendungen, die mit SAP Build Apps erstellt wurden
Anwendungen, die mit SAP Build Apps erstellt wurden, stehen durch die Code-Injection-Schwachstelle CVE-2019-10744 erheblich unter Gefahr. Diese Schwachstelle erlaubt es Angreifern, nicht autorisierte Befehle im System auszuführen, was zu erheblichen Beeinträchtigungen der Integrität und Verfügbarkeit der Anwendung führen kann und potenziell gravierende Sicherheitsrisiken birgt.
3. Score 9.1 (Hot News)
Nummer: 3433192
[CVE-2024-22127] Code-Injection-Schwachstelle in SAP NetWeaver AS Java (Administrator-Log-Viewer-Plug-In)
Das AS-Java-Log-Viewer-Plug-In von SAP NetWeaver Administrator weist eine potenzielle Sicherheitslücke auf, die es einem Angreifer mit erweiterten Berechtigungen ermöglicht, riskante Dateien hochzuladen. Dies führt zu einer Schwachstelle für Befehlseinschleusung, über die der Angreifer Anweisungen ausführen kann, die sich stark auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung auswirken können.
4. Score 8.8 (High priority)
Nummer: 3346500
[CVE-2023-39439] Falsche Authentifizierung in SAP Commerce Cloud
Am 12. März 2024 wurde dieser Hinweis mit aktualisierten Lösungsinformationen erneut veröffentlicht.
In bestimmten Konfigurationen der SAP Commerce Cloud kann es vorkommen, dass eine leere Kennphrase für die Authentifizierung mit Benutzer-ID und Kennphrase akzeptiert wird. Dadurch haben Benutzer die Möglichkeit, sich ohne Eingabe einer Kennphrase am System anzumelden.
5. Score 7.5 (High priority)
Nummer: 3410615
[CVE-2023-44487 ] Denial-of-Service (DOS) in SAP HANA XS Classic und HANA XS Advanced
Unauthentifizierte Benutzer können über eine Vielzahl von HTTP/2-Anfragen in SAP HANA XS Classic und HANA XS Advanced einen Netzwerk-Denial-of-Service-Angriff (DOS) initiieren und später die Anfragen abbrechen. Dies kann zu einer Überlastung des Speichers führen und die Verfügbarkeit der Anwendung erheblich beeinträchtigen. Die Vertraulichkeit und Integrität der Anwendung sind davon jedoch nicht betroffen.
6. Score 7.2 (High priority)
Nummer: 3414195
[CVE-2023-50164] Pfad-Traversal-Schwachstelle auf SAP-BusinessObjects-Business-Intelligence-Plattform (Central Management Console)
Die SAP-BusinessObjects-Business-Intelligence-Plattform verwendet in ihrer CMC eine Version von Apache Struts, die von CVE-2023-50164 betroffen ist. Bei Ausnutzung durch einen Benutzer mit hohen Berechtigungen könnten die Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung erheblich sein.
7. Score 5.4 (Medium priority)
Nummer: 3377979
[CVE-2024-27902] Cross-Site-Scripting-Schwachstelle (XSS) in SAP NetWeaver AS ABAP (auf SAP GUI for HTML (Web Gui) basierende Anwendungen)
Anwendungen, die auf SAP GUI for HTML in SAP NetWeaver AS ABAP basieren, behandeln benutzergesteuerte Eingaben nicht ausreichend, was zu einer Cross-Site-Scripting-Schwachstelle (XSS) führt. Durch einen erfolgreichen Angriff könnte ein böswilliger Angreifer Code im Browser eines Benutzers ausführen, um auf Daten zuzugreifen und diese zu manipulieren. Die Verfügbarkeit des Systems wird davon nicht beeinträchtigt.
8. Score 5.3 (Medium priority)
Nummer: 3434192
[CVE-2024-28163] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP NetWeaver Process Integration (Support Web Pages)
Unter spezifischen Umständen erlaubt es Support Web Pages von SAP NetWeaver Process Integration (PI) einem Angreifer, auf normalerweise eingeschränkte Informationen zuzugreifen. Dies hätte geringe Auswirkungen auf die Vertraulichkeit, ohne die Integrität und Verfügbarkeit der Anwendung zu beeinträchtigen.
9. Score 5.3 (Medium priority)
Nummer: 3425682
[CVE-2024-25644] Schwachstelle bezüglich der Offenlegung von Informationen in SAP NetWeaver (WSRM)
Unter bestimmten Voraussetzungen gestattet SAP NetWeaver Application Server WSRM einem Angreifer den Zugriff auf normalerweise eingeschränkte Informationen. Dies hat minimale Auswirkungen auf die Vertraulichkeit der Anwendung und keine Auswirkungen auf ihre Integrität und Verfügbarkeit.
10. Score 5.3 (Medium priority)
Nummer: 3428847
[CVE-2024-25645] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP NetWeaver (Enterprise Portal)
Unter spezifischen Umständen gestattet SAP NetWeaver Enterprise Portal einem Angreifer den Zugriff auf normalerweise eingeschränkte Informationen. Dies hat geringfügige Auswirkungen auf die Vertraulichkeit der Anwendung, jedoch keine Auswirkungen auf ihre Integrität und Verfügbarkeit.
11. Score 4.6 (Medium priority)
Nummer: 3417399
[CVE-2024-22133] Ungeeignete Zugriffskontrolle in SAP-Fiori-Frontend-Server
Der SAP-Fiori-Frontend-Server gestattet die Änderung von Details des Genehmigenden im schreibgeschützten Feld während des Versendens von Abwesenheitsantragsinformationen. Diese Änderung könnte dazu führen, dass ein Antrag mit einem falschen Genehmigenden erstellt wird. Dies hätte geringfügige Auswirkungen auf die Vertraulichkeit und Integrität, jedoch keine Auswirkungen auf die Verfügbarkeit der Anwendung.
12. Score 4.3 (Medium priority)
Nummer: 3419022
[CVE-2024-27900] Fehlende Berechtigungsprüfung in der SAP-ABAP-Plattform
Durch das Fehlen einer Berechtigungsprüfung besteht die Möglichkeit für einen Angreifer mit einem Anwendungsbenutzerkonto, die Datenschutzeinstellung von Jobvorlagen von „Freigegeben“ auf „Privat“ zu ändern. Dadurch wäre die ausgewählte Vorlage nur für den Eigentümer zugänglich.