Hier findet ihr eine Übersicht der SAP Security Notes für Dezember 2024:
1. Score 9.1 (Hot News)
Nummer: 3520281
[CVE-2024-47578] Mehrere Schwachstellen in SAP NetWeaver AS für JAVA (Adobe Document Services)
Dieser Sicherheitshinweis bezieht sich auf mehrere Schwachstellen in den Adobe Document Services von SAP NetWeaver AS für JAVA. Nachfolgend sind die Details der Sicherheitslücken sowie die zugehörigen CVE- und CVSS-Informationen aufgeführt:
CVE-2024-47578
Die Adobe Document Services weisen eine Schwachstelle auf, bei der ein Angreifer mit Administratorrechten speziell gestaltete Anfragen über eine anfällige Webanwendung senden kann. Dies kann für Angriffe auf interne Systeme genutzt werden, die durch Firewalls geschützt sind und normalerweise nicht aus externen Netzwerken erreichbar sind. Die Schwachstelle ermöglicht serverseitige Request-Forgery-Angriffe. Ein erfolgreicher Angriff erlaubt es dem Angreifer, Dateien zu lesen, zu modifizieren oder das gesamte System lahmzulegen.
- CVSS-Wert: 9.1
- Bewertung: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
CVE-2024-47579
Ein authentifizierter Angreifer mit Administratorrechten kann über einen bereitgestellten Web-Service PDF-Schriftartdateien hoch- oder herunterladen. Durch Nutzung der Upload-Funktion, die eine interne Datei in eine Schriftartdatei umwandelt, und anschließendes Herunterladen dieser Datei kann der Angreifer jede Datei auf dem Server auslesen, ohne dabei die Integrität oder Verfügbarkeit des Systems zu beeinträchtigen.
- CVSS-Wert: 6.8
- Bewertung: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N
CVE-2024-47580
Ein authentifizierter Administrator kann eine Schwachstelle in einem freigelegten Web-Service ausnutzen, um PDF-Dateien mit eingebetteten Anhängen zu erstellen. Indem er dabei interne Serverdateien einbindet und die generierten PDFs herunterlädt, kann er beliebige Dateien auf dem Server auslesen, ohne die Integrität oder Verfügbarkeit des Systems zu beeinträchtigen.
- CVSS-Wert: 6.8
- Bewertung: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N
2. Score 8.8 (High priority)
Nummer: 3520281
[CVE-2024-47590] Cross-Site-Scripting-Schwachstelle (XSS) in SAP Web Dispatcher
Ein nicht authentifizierter Angreifer kann einen manipulierten Link erstellen und öffentlich zugänglich machen. Klickt ein authentifizierter Nutzer auf diesen Link, werden die übermittelten Eingabedaten von der Webseite verarbeitet, um Inhalte zu generieren. Dies ermöglicht dem Angreifer entweder die Ausführung von Code im Browser des Nutzers (XXS) oder die Übermittlung von Daten an einen anderen Server (SSRF). Auf diese Weise kann der Angreifer beliebigen Code auf dem Server ausführen und die Vertraulichkeit, Integrität sowie Verfügbarkeit des Systems vollständig kompromittieren.
Änderungsprotokoll:
- v12 (Aktuelle Version) – Update vom 10. Dezember 2024: Der SAP-Hinweis wurde überarbeitet, insbesondere im Abschnitt „Ursache und Voraussetzungen“, und erneut veröffentlicht. Es sind keine kundenseitigen Maßnahmen erforderlich.
- v9 (Initialversion)
3. Score 8.5 (High priority)
Nummer: 3469791
[CVE-2024-54198] Schwachstelle mit Blick auf Offenlegung von Informationen über Remote Function Call (RFC) in SAP NetWeaver Application Server ABAP
SAP NetWeaver Application Server ABAP kann unter bestimmten Bedingungen einem authentifizierten Angreifer ermöglichen, Anfragen für Remote-Function-Calls (RFC) an eingeschränkte Ziele zu senden. Dabei werden Anmeldeinformationen für einen Remote-Service bereitgestellt, die der Angreifer missbrauchen könnte. Dadurch besteht das Risiko, den Remote-Service vollständig zu gefährden, was erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung haben könnte.
4. Score 7.5 (High priority)
Nummer: 3504390
[CVE-2024-47586] NULL-Pointer-Dereferenz-Schwachstelle in SAP NetWeaver Application Server für ABAP und ABAP-Plattform
Ein nicht authentifizierter Angreifer hat die Möglichkeit, auf SAP NetWeaver Application Server für ABAP und die ABAP-Plattform einen speziell präparierten HTTP-Request zu senden. Dieser kann eine NullPointer-Dereferenz im Kernel auslösen, wodurch das System abstürzt und einen Neustart durchführt. Dies führt zu einer vorübergehenden Nichtverfügbarkeit des Systems. Wird die Anfrage wiederholt gesendet, kann die Anwendung dauerhaft außer Betrieb gesetzt werden. Die Vertraulichkeit und Integrität bleiben dabei unbeeinträchtigt.
5. Score 7.2 (High priority)
Nummer: 3542543
[CVE-2024-54197] Serverseitige Request Forgery in SAP NetWeaver Administrator (Systemübersicht)
Der SAP NetWeaver Administrator (Systemübersicht) erlaubt es einem authentifizierten Angreifer, durch gezielt erstellte HTTP-Requests zugängliche HTTP-Endpunkte im internen Netzwerk aufzulisten. Bei erfolgreicher Ausführung dieser Schwachstelle kann eine serverseitige Request-Forgery (SSRF) ausgelöst werden. Diese kann geringfügige Auswirkungen auf die Integrität und Vertraulichkeit der Daten haben, jedoch bleibt die Verfügbarkeit der Anwendung unbeeinträchtigt.
6. Score 5.3 (Medium priority)
Nummer: 3351041
[CVE-2024-47582] XML-Entitätserweiterungsschwachstelle in SAP NetWeaver AS JAVA
Ein nicht authentifizierter Angreifer kann schädliche Eingaben an einen Endpunkt senden, da die XML-Eingaben nicht ausreichend validiert werden. Dies ermöglicht einen XML-Entity-Expansion-Angriff, der die Verfügbarkeit der Anwendung geringfügig beeinträchtigen kann.
7. Score 5.3 (Medium priority)
Nummer: 3524933
[CVE-2024-32732] Schwachstelle bezüglich der Offenlegung von Informationen in SAP-BusinessObjects-Business-Intelligence-Plattform
Die SAP-BusinessObjects-Business-Intelligence-Plattform kann unter bestimmten Umständen einem Angreifer Zugriff auf Informationen gewähren, die normalerweise geschützt sind. Dies beeinträchtigt die Vertraulichkeit geringfügig, hat jedoch keine Auswirkungen auf die Integrität oder Verfügbarkeit der Anwendung.
8. Score 4.3 (Medium priority)
Nummer: 3536361
[CVE-2024-47585] Fehlende Berechtigungsprüfung in SAP NetWeaver Application Server für ABAP und ABAP-Plattform
Ein authentifizierter Angreifer kann in SAP NetWeaver Application Server für ABAP und der ABAP-Plattform durch Ausnutzung fehlerhafter Berechtigungsprüfungen unbeabsichtigt höhere Zugriffsebenen erhalten. Dies führt zu einer Eskalation der Berechtigungen. Obwohl Import- und Exportrechte separat behandelt werden sollten, wird in diesem Fall nur eine einzelne Berechtigung angewendet, was zusätzliche Risiken mit sich bringt. Wird diese Schwachstelle erfolgreich ausgenutzt, könnte dies zu Sicherheitsbedenken führen. Die Integrität und Verfügbarkeit der Anwendung bleiben jedoch unberührt, und die Auswirkungen auf die Vertraulichkeit der Daten sind minimal.
9. Score 4.3 (Medium priority)
Nummer: 3515653
Aktualisierung 1 zu Sicherheitshinweis 3433545: [CVE-2024-42375] Mehrere Schwachstellen beim uneingeschränkten Datei-Upload in SAP-BusinessObjects-Business-Intelligence-Plattform
Dieser Sicherheitshinweis stellt eine Aktualisierung des ursprünglichen Sicherheitshinweises 3433545 dar. Die zuvor bereitgestellte Korrektur in diesem Hinweis ist nicht mehr gültig.
Kunden sollten diesen aktuellen SAP-Sicherheitshinweis implementieren, um die vollständige und korrekte Korrektur zu erhalten. Falls der Sicherheitshinweis 3433545 bereits angewendet wurde, ist es notwendig, diesen neuen Sicherheitshinweis zu integrieren, um die vollständige Behebung sicherzustellen.
Der Hinweis behandelt drei Schwachstellen im Zusammenhang mit dem uneingeschränkten Datei-Upload in der SAP-BusinessObjects-Business-Intelligence-Plattform. Nachfolgend finden Sie die Details zu den Schwachstellen sowie die zugehörigen CVE- und CVSS-Informationen:
CVE-2024-42375
Ein authentifizierter Angreifer kann über das Netzwerk schädlichen Code hochladen, der von der SAP-BusinessObjects-Business-Intelligence-Plattform ausgeführt werden könnte. Bei erfolgreichem Ausnutzen der Schwachstelle könnte die Integrität der Anwendung leicht beeinträchtigt werden.
- CVSS-Wert: 4.3
- Bewertung: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
CVE-2024-28166
Ein nicht authentifizierter Angreifer hat die Möglichkeit, schädliche Dateien über das Netzwerk in das BI-Datei-Repository hochzuladen. Um die Dateiformatprüfung des Frontends zu umgehen, sind tiefgehende Systemkenntnisse erforderlich. Wenn diese Schwachstelle erfolgreich ausgenutzt wird, kann der Angreifer bestimmte Daten verändern, was geringe Auswirkungen auf die Integrität der Anwendung hat.
- CVSS-Wert: 3.7
- Bewertung: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N
CVE-2024-41731
Ein authentifizierter Angreifer kann schadhafte Dateien über das Netzwerk in das BI-Datei-Repository hochladen. Auch hier sind fundierte Systemkenntnisse notwendig, um die Dateiformatprüfung des Frontends zu umgehen. Bei erfolgreichem Ausnutzen dieser Schwachstelle könnte der Angreifer die Integrität der Anwendung leicht beeinträchtigen.
- CVSS-Wert: 3.1
- Bewertung: CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:L/A:N
10. Score 4.3 (Medium priority)
Nummer: 3433545
[CVE-2024-42375] Mehrere Schwachstellen beim uneingeschränkten Datei-Upload in SAP-BusinessObjects-Business-Intelligence-Plattform
Dieser Sicherheitshinweis bezieht sich auf drei Schwachstellen im Zusammenhang mit dem uneingeschränkten Datei-Upload in der SAP-BusinessObjects-Business-Intelligence-Plattform. Im Folgenden sind die Details zu den jeweiligen Schwachstellen sowie die zugehörigen CVE- und CVSS-Informationen aufgeführt:
CVE-2024-42375
Ein authentifizierter Angreifer kann über das Netzwerk schädlichen Code hochladen, der von der Anwendung ausgeführt werden könnte. Wenn diese Schwachstelle erfolgreich ausgenutzt wird, kann der Angreifer die Integrität der Anwendung geringfügig beeinträchtigen.
- CVSS-Wert: 4.3
- Bewertung: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
CVE-2024-28166
Ein nicht authentifizierter Angreifer hat die Möglichkeit, schadhafte Dateien über das Netzwerk in das BI-Datei-Repository hochzuladen. Um die Prüfung des Frontend-Dateiformats zu umgehen, sind tiefgehende Systemkenntnisse erforderlich. Durch das erfolgreiche Ausnutzen der Schwachstelle kann der Angreifer Daten ändern, was zu geringen Auswirkungen auf die Integrität der Anwendung führt.
- CVSS-Wert: 3.7
- Bewertung: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N
CVE-2024-41731
Ein authentifizierter Angreifer kann schadhafte Dateien über das Netzwerk in das BI-Datei-Repository hochladen. Auch hier sind fundierte Systemkenntnisse erforderlich, um die Dateiformatprüfung des Frontends zu umgehen. Wird die Schwachstelle erfolgreich ausgenutzt, kann der Angreifer die Integrität der Anwendung geringfügig beeinträchtigen.
- CVSS-Wert: 3.1
- Bewertung: CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:L/A:N
11. Score 3.5 (Low priority)
Nummer: 3504847
[CVE-2024-47576] DLL-Hijacking-Schwachstelle in SAP Product Lifecycle Costing
Die Client-Anwendung von SAP Product Lifecycle Costing (Versionen vor 4.7.1) lädt bei Bedarf eine DLL, die standardmäßig mit dem Windows-Betriebssystem geliefert wird. Diese DLL wird auf dem Computer geladen, auf dem die Client-Anwendung ausgeführt wird. Es besteht die Möglichkeit, dass diese DLL durch eine schadhafte Version ersetzt wird, die dann Befehle im Kontext der Client-Anwendung ausführt. Wird diese Schwachstelle erfolgreich ausgenutzt, könnte dies die Vertraulichkeit der Anwendung geringfügig beeinträchtigen, jedoch keine Auswirkungen auf ihre Integrität und Verfügbarkeit haben.
12. Score 3.5 (Low priority)
Nummer: 3535451
[CVE-2024-47577] Schwachstelle im Hinblick auf das Offenlegen von Informationen in SAP Commerce Cloud
Im Assisted Service Modul von SAP Commerce Cloud gibt es eine Schwachstelle bei den Web-Service-API-Endpunkten, die zu einer unbeabsichtigten Offenlegung von Informationen führen kann. Wenn ein autorisierter Agent nach Kunden sucht, um deren Konten zu verwalten, werden Kundendaten in der URL der Anfrage übermittelt und in den Serverprotokollen gespeichert. Ein Angreifer, der sich als autorisierter Administrator ausgibt, könnte diese Protokolle einsehen und so auf die Kundendaten zugreifen. Die Menge der offenbarten vertraulichen Informationen ist jedoch sehr begrenzt, und der Angreifer hat keinerlei Kontrolle darüber, welche Daten er einsehen kann.
Wir empfehlen euch dringend, die Patches mit (sehr) hoher und mittlerer Priorität so schnell wie möglich zu installieren. Je schneller ihr reagiert, desto besser schützt ihr eure SAP-Landschaft vor Angriffen.