Hier findet ihr eine Übersicht der SAP Security Notes für September 2024:
1. Score 7.4 (High priority)
Nummer: 3459935
[CVE-2024-33003] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP Commerce Cloud
In der SAP Commerce Cloud ermöglichen einige OCC-API-Endpunkte das Einfügen personenbezogener Daten (PII)—darunter Kennwörter, E-Mail-Adressen, Mobiltelefonnummern sowie Coupon- und Gutscheincodes—als Abfrage- oder Pfadparameter in die Anfrage-URL. Sollte dies ausgenutzt werden, könnte es erhebliche Risiken für die Vertraulichkeit und Integrität der Anwendung mit sich bringen.
Änderungsprotokoll:
v29 (Aktuelle Version) – Aktualisierung 10. September 2024: Der Hinweis wurde mit aktualisierten Lösungshinweisen neu veröffentlicht. Das aktuelle SAP-Commerce-Cloud-Update-Release 2211.28 enthält alle erforderlichen Korrekturen.
v22 (Initialversion)
2. Score 6.5 (Medium priority)
Nummer: 3488341
[CVE-2024-45286] Fehlende Berechtigungsprüfung in SAP Production and Revenue Accounting (Tobin-Schnittstelle)
Ein Funktionsbaustein in der veralteten Tobin-Schnittstelle von SAP Production and Revenue Accounting ermöglicht aufgrund fehlender Berechtigungsprüfungen unberechtigten Zugriff, der zu einer Offenlegung hochsensibler Daten führen kann. Es gibt jedoch keine Auswirkungen auf die Integrität oder Verfügbarkeit der Daten.
3. Score 6.5 (Medium priority)
Nummer: 3495876
[Mehrere CVEs] Mehrere Schwachstellen in SAP Replication Server (FOSS)
Mehrere Schwachstellen—CVE-2023-0215, CVE-2022-0778 und CVE-2023-0286—wurden in den von SAP Replication Server verwendeten Free-Open-Source-Software-Bibliotheken (FOSS), OpenSSL und Spring Framework, festgestellt. Obwohl SAP Replication Server nicht von diesen Schwachstellen betroffen ist, da die anfälligen Funktionen in den betroffenen FOSS nicht genutzt werden, könnten diese verwundbaren FOSS die Installationsumgebung potenziell angreifbar machen.
Änderungsprotokoll:
v7 (Aktuelle Version) – UPDATE 10. September 2024: Dieser SAP-Hinweis wurde mit aktualisierten Lösungsinformationen erneut veröffentlicht.
v6 (Initialversion)
4. Score 6.1 (Medium priority)
Nummer: 3495876
[CVE-2024-45279] Cross-Site-Scripting-Schwachstelle (XSS) in SAP NetWeaver Application Server für ABAP (CRM Blueprint Application Builder Panel)
Das CRM Blueprint Application Builder Panel von SAP NetWeaver Application Server für ABAP weist unzureichende Eingabevalidierung auf, die es einem nicht authentifizierten Angreifer ermöglicht, URL-Links zu erstellen, die schädliches JavaScript einbetten. Klickt ein Opfer auf solch einen Link, wird das Skript im Browser des Opfers ausgeführt, wodurch der Angreifer in der Lage ist, sensible Informationen zu erlangen und zu verändern, ohne dabei die Verfügbarkeit der Anwendung zu gefährden.
5. Score 6.1 (Medium priority)
Nummer: 3497347
[CVE-2024-42378] Cross-Site-Scripting (XSS) in eProcurement auf SAP S/4HANA
Durch eine unzureichende Kodierung benutzergesteuerter Eingaben in eProcurement auf SAP S/4HANA können schädliche Skripte innerhalb der Anwendung ausgeführt werden. Dies könnte zu einer Reflected Cross-Site Scripting (XSS)-Schwachstelle führen. Während die Verfügbarkeit der Anwendung nicht betroffen ist, können dennoch geringfügige Auswirkungen auf ihre Vertraulichkeit und Integrität auftreten.
6. Score 6.0 (Medium priority)
Nummer: 3477359
[CVE-2024-45283] Schwachstelle bezüglich der Offenlegung von Informationen in SAP NetWeaver AS for Java (Destinations Service)
SAP NetWeaver AS for Java ermöglicht es einem berechtigten Angreifer, sensible Informationen abzurufen. Der Angreifer kann beim Erstellen einer RFC-Destination Benutzernamen und Kennwörter einsehen. Obwohl der Angreifer nach erfolgreicher Ausnutzung der Schwachstelle auf diese sensiblen Informationen zugreifen kann, ist es ihm nicht möglich, die Daten zu ändern oder zu löschen.
7. Score 5.9 (Medium priority)
Nummer: 3430336
[CVE-2013-3587] Schwachstelle im Hinblick auf das Offenlegen von Informationen in SAP Commerce Cloud
Die SAP BusinessObjects Business Intelligence Plattform erlaubt es einem Benutzer mit hohen Berechtigungen, Client-Desktop-Anwendungen auszuführen, selbst wenn einige DLLs entweder nicht digital signiert oder deren Signaturen beschädigt sind. Um DLL-bezogene Aufgaben durchzuführen, benötigt der Angreifer lokalen Zugriff auf das betroffene System. Dies kann erhebliche Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung haben.
7. Score 5.8 (Medium priority)
Nummer: 3425287
[CVE-2024-45281] DLL-Hijacking-Schwachstelle in SAP-BusinessObjects-Business-Intelligence-Plattform
Durch die Verwendung der Gzip-HTTP-Komprimierung in der Web-App von SAP Commerce Cloud besteht eine potenzielle Anfälligkeit für BREACH-Angriffe gemäß CVE-2013-3587, wenn bestimmte im folgenden Abschnitt erläuterte Bedingungen erfüllt sind. Dies kann erhebliche Auswirkungen auf die Vertraulichkeit haben, während die Integrität und Verfügbarkeit des Systems nicht beeinträchtigt werden.
9. Score 5.4 (Medium priority)
Nummer: 3488039
[Mehrere CVEs] Mehrere Schwachstellen in SAP NetWeaver Application Server für ABAP und ABAP-Plattform
In diesem Sicherheitshinweis werden sechs Schwachstellen in SAP NetWeaver Application Server für ABAP und der ABAP-Plattform behandelt, die durch fehlende Berechtigungsprüfungen verursacht werden. Im Folgenden sind die Details der Sicherheitslücken sowie die relevanten CVE- und CVSS-Informationen aufgeführt:
CVE-2024-42371: Diese Schwachstelle ermöglicht es einem Benutzer mit niedrigen Berechtigungen, die Arbeitsplatzfavoriten beliebiger Benutzer zu löschen. Dies kann verwendet werden, um Benutzernamen zu identifizieren und Informationen über Arbeitsplätze und Knoten der Zielbenutzer zu erlangen. Die Auswirkungen auf die Integrität und Verfügbarkeit der Anwendung sind gering.
- CVSS: 5.4; CVSS:3.0/AV
- CVSS: 5.4; CVSS:3.0/AV
CVE-2024-44117: Hier kann ein Benutzer mit geringen Berechtigungen verschiedene Aktionen ausführen, wie das Ändern der URLs der Favoritenknoten und der Arbeitsmappen-ID eines beliebigen Benutzers. Die Auswirkungen auf die Integrität und Verfügbarkeit der Anwendung sind gering.
- CVSS: 5.4; CVSS:3.0/AV
- CVSS: 5.4; CVSS:3.0/AV
CVE-2024-45285: Diese Schwachstelle erlaubt es einem Benutzer mit niedrigen Berechtigungen, eine Serviceverweigerung für jeden Benutzer auszulösen und Favoritenknoten zu ändern oder zu löschen. Durch das Versenden eines speziell präparierten Pakets werden die SAP GUI-Funktionen des Zielbenutzers unzugänglich. Die Auswirkungen auf die Integrität und Verfügbarkeit der Anwendung sind gering.
- CVSS: 5.4; CVSS:3.0/AV
- CVSS: 5.4; CVSS:3.0/AV
CVE-2024-42380: Ein Benutzer mit geringen Berechtigungen kann die Arbeitsplatzfavoriten und das Benutzermenü eines beliebigen Benutzers einsehen, einschließlich aller spezifischen Knotendaten. Dies ermöglicht das Identifizieren von Benutzernamen. Die Auswirkungen auf die Vertraulichkeit der Anwendung sind gering.
- CVSS: 4.3; CVSS:3.0/AV
- CVSS: 4.3; CVSS:3.0/AV
CVE-2024-44115: Mit dieser Schwachstelle kann ein Benutzer mit niedrigen Berechtigungen URLs zu den Arbeitsplatzfavoriten eines beliebigen Benutzers hinzufügen. Diese Schwachstelle ermöglicht es, Benutzernamen zu identifizieren und auf Informationen zu den Arbeitsplätzen und Knoten des Zielbenutzers zuzugreifen. Die Auswirkungen auf die Integrität der Anwendung sind gering.
- CVSS: 4.3; CVSS:3.0/AV
- CVSS: 4.3; CVSS:3.0/AV
CVE-2024-44116: Ein Benutzer mit niedrigen Berechtigungen kann beliebige Arbeitsmappen zu den Arbeitsplatzfavoriten eines beliebigen Benutzers hinzufügen. Diese Schwachstelle kann verwendet werden, um Benutzernamen zu identifizieren und auf Informationen zu den Arbeitsplätzen des Zielbenutzers zuzugreifen. Die Auswirkungen auf die Integrität der Anwendung sind gering.
- CVSS: 4.3; CVSS:3.0/AV
- CVSS: 4.3; CVSS:3.0/AV
10. Score 4.8 (Medium priority)
Nummer: 3505503
[CVE-2024-45280] Cross-Site-Scripting-Schwachstelle (XSS) in SAP NetWeaver AS Java (Anmeldeanwendung)
Durch eine unzureichende Kodierung benutzergesteuerter Eingaben in SAP NetWeaver AS Java können bösartige Skripte in der Anmeldeanwendung ausgeführt werden. Diese Schwachstelle hat nur begrenzte Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung, während die Verfügbarkeit nicht betroffen ist.
11. Score 4.7 (Medium priority)
Nummer: 3498221
[CVE-2024-44120] Cross-Site-Scripting-Schwachstelle (XSS) in SAP NetWeaver Enterprise Portal
Aufgrund unzureichender Kodierung benutzergesteuerter Eingaben ist SAP NetWeaver Enterprise Portal anfällig für Reflected Cross-Site Scripting (XSS). Ein nicht authentifizierter Angreifer kann eine bösartige URL erstellen und einen Benutzer dazu verleiten, darauf zu klicken. Wenn das Opfer diese manipulierte URL öffnet, bevor eine Zeitüberschreitung eintritt, kann der Angreifer Inhalte des Benutzers im Browser auslesen und verändern.
12. Score 4.3 (Medium priority)
Nummer: 3505293
[CVE-2024-44112] Fehlende Berechtigungsprüfung in SAP for Oil & Gas (Transport und Verteilung)
In SAP for Oil & Gas (Transport und Verteilung) ermöglicht eine fehlende Berechtigungsprüfung, dass sich ein nicht administrativer Benutzer in das System einloggt und eine remote-fähige Funktion aufruft, um Einträge in einer Benutzerdatentabelle zu löschen. Diese Schwachstelle beeinträchtigt weder die Vertraulichkeit noch die Verfügbarkeit der Daten.
13. Score 4.3 (Medium priority)
Nummer: 3481992
[CVE-2024-44113] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP Business Warehouse (BEx Analyzer)
SAP Business Warehouse (BEx Analyzer) bietet aufgrund unzureichender Berechtigungsprüfungen einem authentifizierten Angreifer Zugang zu normalerweise eingeschränkten Netzwerkinformationen. Bei erfolgreicher Ausnutzung dieser Schwachstelle kann der Angreifer gezielt Informationen abrufen, die potenziell die Vertraulichkeit der Anwendung gefährden.
14. Score 4.3 (Medium priority)
Nummer: 3481588
[CVE-2024-41729] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP NetWeaver BW (BEx Analyzer)
Aufgrund unzureichender Berechtigungsprüfungen erlaubt SAP BEx Analyzer einem authentifizierten Angreifer den Zugriff auf normalerweise eingeschränkte Netzwerkinformationen. Bei erfolgreicher Ausnutzung dieser Schwachstelle kann der Angreifer gezielt Informationen abrufen, die potenziell die Vertraulichkeit der Anwendung beeinträchtigen.
15. Score 2,7 (Medium priority)
Nummer: 2256627
[CVE-2024-45284] Fehlende Berechtigungsprüfung in (SLcM)
Durch unzureichende Zugriffsbeschränkungen in SLcM-Transaktionen kann ein authentifizierter Benutzer Funktionen erreichen, die normalerweise nicht verfügbar sein sollten. Diese unzulässige Rechteausweitung hat nur geringe Auswirkungen auf die Integrität der Anwendung.
16. Score 2,7 (Medium priority)
Nummer: 3496410
[CVE-2024-41728] Fehlende Berechtigungsprüfung in SAP NetWeaver Application Server für ABAP und ABAP-Plattform
Aufgrund einer fehlenden Berechtigungsprüfung erlaubt der SAP NetWeaver Application Server für ABAP und die ABAP-Plattform einem als Entwickler angemeldeten Angreifer, Objekte innerhalb eines Pakets zu lesen. Diese Schwachstelle wirkt sich auf die Vertraulichkeit aus, da der Angreifer unter normalen Umständen keinen Zugriff auf diese Objekte hätte.
17. Score 2,0 (Medium priority)
Nummer: 3507252
[CVE-2024-44114] Fehlende Berechtigungsprüfung in SAP NetWeaver Application Server für ABAP und ABAP-Plattform
Im SAP NetWeaver Application Server für ABAP und der ABAP-Plattform können Benutzer mit erweiterten Berechtigungen ein Programm ausführen, das Daten über das Netzwerk preisgibt. Diese Schwachstelle hat nur geringe Auswirkungen auf die Vertraulichkeit der Anwendung.
Das waren die aktuellen Patches für September 2024. Schnappt euch einen Kaffee und ab ans patchen… Bleibt sicher!