Hier findet ihr eine Übersicht der SAP Security Notes für Oktober 2024:
1. Score 9.8 (Hot News)
Nummer: 3479478
[CVE-2024-41730] Fehlende Authentifizierungsprüfung in SAP-BusinessObjects-Business-Intelligence-Plattform
Wenn die Enterprise-Authentifizierung in SAP BusinessObjects Business Intelligence für Single Sign-On aktiviert ist, besteht die Möglichkeit, dass ein nicht autorisierter Benutzer über einen REST-Endpunkt ein Anmeldetoken erhält. Dies könnte zu einer erheblichen Gefährdung des Systems führen und hat weitreichende negative Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit.
Änderungsprotokoll:
v20 (aktuelle Version) – AKTUALISIERUNG 8. Oktober 2024: Mit neuen Informationen zu Support-Paketen und Patches wurde dieser SAP-Hinweis aktualisiert. Die Korrektur ist in 4.2 SP009 verfügbar.
v12 (vorherige Version) – UPDATE 20. August 2024: Dieser Hinweis wurde erneut veröffentlicht und enthält aktualisierte Informationen zur Gültigkeit sowie zusätzliche Behelfslösungen im Abschnitt „Lösung“.
v9 (Initiale Version)
2. Score 8.0 (High priority)
Nummer: 3523541
[CVE-2022-23302] Mehrere Schwachstellen in SAP Enterprise Project Connection
Die Versionen der Open-Source-Bibliotheken Spring-Framework und Log4j, die in SAP Enterprise Project Connection verwendet werden, könnten anfällig für die im Abschnitt „Weitere Begriffe“ dieses SAP-Sicherheitshinweises aufgeführten CVEs sein.
3. Score 7.7 (High priority)
Nummer: 3478615
[CVE-2024-37179] Schwachstelle mit Blick auf unsicheren Dateibetrieb in SAP-BusinessObjects-Business-Intelligence-Plattform (Web Intelligence)
Die SAP-BusinessObjects-Business-Intelligence-Plattform ermöglicht authentifizierten Benutzern, gezielt Anfragen an den Web Intelligence Reporting Server zu stellen. Dadurch können sie beliebige Dateien von dem Rechner herunterladen, auf dem der Dienst gehostet wird, was erhebliche Auswirkungen auf die Vertraulichkeit der Anwendung hat.
4. Score 6.5 (Medium priority)
Nummer: 3495876
[Mehrere CVEs] Mehrere Schwachstellen in SAP Replication Server (FOSS)
In den Open-Source-Software-Bibliotheken (FOSS) OpenSSL und Spring Framework, die von SAP Replication Server bereitgestellt werden, wurden mehrere Schwachstellen festgestellt: CVE-2023-0215, CVE-2022-0778 und CVE-2023-0286. SAP Replication Server ist jedoch nicht von diesen Schwachstellen betroffen, da die anfälligen Funktionen aus den FOSS nicht verwendet werden. Dennoch könnten diese verwundbaren FOSS potenziell die Installationsumgebung angreifbar machen.
Änderungsprotokoll:
v9 (Aktuelle Version) – UPDATE 8. Oktober 2024: Dieser SAP-Hinweis wurde mit geringfügigen Textkorrekturen im Abschnitt „Symptom“ aktualisiert. Es sind keine Änderungen vorgenommen worden, die zusätzliche Schritte von Kunden erfordern.
v7 (Vorgängerversion) – UPDATE 10. September 2024: Dieser SAP-Hinweis wurde mit aktualisierten Lösungsinformationen erneut veröffentlicht.
v6 (Initialversion)
5. Score 6.0 (Medium priority)
Nummer: 3477359
[CVE-2024-45283] Schwachstelle bezüglich der Offenlegung von Informationen in SAP NetWeaver AS for Java (Destinations Service)
SAP NetWeaver AS for Java bietet einem berechtigten Angreifer die Möglichkeit, sensible Informationen abzurufen. Bei der Erstellung einer RFC-Destination kann der Angreifer sowohl den Benutzernamen als auch das Kennwort erlangen. Nach der erfolgreichen Ausnutzung dieser Schwachstelle hat der Angreifer Zugriff auf bestimmte sensible Informationen, kann jedoch keine Daten ändern oder löschen.
Änderungsprotokoll:
v8 (Aktuelle Version) – UPDATE 08. Oktober 2024: Dieser SAP-Hinweis wurde mit aktualisierten Lösungsinformationen erneut veröffentlicht. Geringfügige Textänderungen an den Lösungsinformationen wurden vorgenommen, die keine Maßnahmen seitens der Kunden erfordern.
v7 (Initialversion)
6. Score 5.4 (Medium priority)
Nummer: 3507545
[CVE-2024-45278] Cross-Site-Scripting-Schwachstelle (XSS) in SAP-Commerce-Backoffice
Das SAP-Commerce-Backoffice kodiert Benutzereingaben unzureichend, wodurch eine Cross-Site-Scripting-Schwachstelle (XSS) entsteht. Bei erfolgreicher Ausnutzung kann ein Angreifer die Vertraulichkeit und Integrität der Anwendung in begrenztem Umfang beeinträchtigen.
7. Score 5.4 (Medium priority)
Nummer: 3503462
[CVE-2013-3587] Schwachstelle im Hinblick auf das Offenlegen von Informationen in SAP Commerce Cloud
Das KMC-Servlet im SAP NetWeaver Enterprise Portal kodiert Benutzereingaben unzureichend, was eine Cross-Site-Scripting-Schwachstelle zur Folge hat. Ein Angreifer könnte ein schädliches Skript erstellen und Benutzer dazu verleiten, darauf zu klicken. Wenn ein registrierter Portalbenutzer einem solchen Link folgt, könnten Vertraulichkeit und Integrität seiner Browsersitzung gefährdet werden.
8.. Score 4.3 (Medium priority)
Nummer: 3520100
[CVE-2024-45277] Prototypverschmutzungs-Schwachstelle im SAP-HANA-Client
Der SAP-HANA-Client weist eine Prototypverschmutzungs-Schwachstelle auf, die unter der Kennung CVE-2024-45277 bekannt ist.
9. Score 4.1 (Medium priority)
Nummer: 3454858
[CVE-2024-37180] Schwachstelle bezüglich der Offenlegung von Informationen in SAP NetWeaver Application Server für ABAP und ABAP-Plattform
Unter bestimmten Umständen erlaubt der SAP NetWeaver Application Server für ABAP sowie die ABAP-Plattform einem Angreifer den Zugriff auf remote-fähige Funktionsbausteine, die normalerweise eingeschränkten Berechtigungen unterliegen. Diese Funktion kann verwendet werden, um nicht sensible Informationen zu lesen, was geringe Auswirkungen auf die Vertraulichkeit der Anwendung hat.
Änderungsprotokoll:
v8 (Aktuelle Version) – UPDATE 08. Oktober 2024: Dieser SAP-Hinweis wurde erneut freigegeben, nachdem die manuelle Nacharbeit im Abschnitt „Lösung“ aktualisiert wurde. Der Transaktionscode wurde von SU22 auf SU24 angepasst.
v5 (Vorherige Version) – UPDATE 13. August 2024: Dieser SAP-Hinweis wurde mit neuen Lösungsinformationen aktualisiert und erneut veröffentlicht. Die manuelle Tätigkeit wurde auf die folgenden Releases ausgeweitet:
▪ SAP_BASIS 754 SP00 bis SP08
▪ SAP_BASIS 755 SP00 bis SP06
▪ SAP_BASIS 756 SP00 bis SP04
▪ SAP_BASIS 757 SP00 bis SP02
v3 (Erstveröffentlichung)
Das waren die aktuellen Patches für September 2024. Schnappt euch einen Kaffee und ab ans patchen… Bleibt sicher!