Business Objects, AS JAVA und AS ABAP | SAP Security Patchday Dezember 2022
Autor: Tobias Harmes | 19. Dezember 2022
Am 13.12.2022 war wieder der SAP Security Patchday, wie jeden zweiten Dienstag im Monat. Es gab diesmal 14 neue Security-Hinweise und zusätzlich fünf Updates von zuvor veröffentlichten Hinweisen. Diesmal dürfte für alle etwas dabei sein.
Ich empfehle wie immer ein kurzes Überfliegen des offiziellen PDFs um herauszufinden, ob es weitere relevante Hinweise für in der eigenen Landschaft eingesetzte SAP-Lösungen gibt. Alternativ erhält man auch eine Übersicht über das Support-Portal mit dem Expert-Filter oben „Patch Day“.
Vollzugriff für normale BI-User in Business Objects
SAP Business Objects hat eine Server-Side Request Forgery-Sicherheitslücke mit CVSS-Score 9.9/10. Durch die Lücke ist es möglich mit normalen BI-User-Rechten beliebige Dateien auf dem Server-Betriebssystem abzulegen/zu ersetzen. Die Lösung wird als Support Package zur Verfügung gestellt: 3239475 – [CVE-2022-41267] Server-Side Request Forgery vulnerability in SAP BusinessObjects Business Intelligence Platform
Daten auslesen und ändern in AS Java / SAP Process Integration
Ursprünglich stand im Titel laut Patchday-Notes nur SAP Process Integration, das wurde aber am 16.12.2022 auf AS Java geändert. Die Sicherheitslücke mit dem CVSS-Score von 9.9/10 erlaubt den Zugriff auf und die eingeschränkte Veränderung von Benutzerdaten im AS Java über eine offene JNDI-Schnittstelle ohne Benutzerprüfung. Entsprechende Support Package-Patchlevel enthält der Hinweis 3273480 – [CVE-2022-41272] Improper access control in SAP NetWeaver AS Java (User Defined Search).
Dazu ein zweiter Hinweis mit etwas geringerer CVSS-Score von 9.4/10, der sich ebenfalls zunächst auf Process Integration bezog und nun allgemein AS Java nennt. Hier ist ebenfalls die JNDI-Schnittstelle verwendet, allerdings mit Bezug auf das Messaging System von AS Java. Einen Workaround gibt es nicht, die notwendigen Patches sind im Hinweis verlinkt. 3267780 – [CVE-2022-41271] Improper access control in SAP NetWeaver AS Java (Messaging System)
Immerhin kann in beiden Fällen der Zugriff nur über das P4-Protokoll ausgeführt werden, das hoffentlich nicht im gesamten Netzwerk exponiert wird. Wer bei sich im Unternehmen noch für eine Netzwerksegmentierung zwischen Servern und Clients kämpft, kann diese Hinweise als Argumente verwenden.
Das Thema IT Security beschäftigt Unternehmen so stark wie nie zuvor. Bedrohungen entstehen durch Hacker und Sicherheitslücken, aber auch durch unzureichende Konfigurationen. Bei unserem Networking Lunch wollen wir mit Ihnen in den Austausch gehen: Was sind aktuelle Herausforderungen? Wie setzen das andere Unternehmen um? Was sind die Tipps und Tricks für mehr Sicherheit?
Remote Code Execution-Lücke in SAP Commerce
Die in SAP Commerce genutzte Apache Commons Text-Java-Library hat eine Sicherheitslücke, die für das Einschleusen von fremdem Code ausgenutzt werden könnte. Für die Lücke mit einem CVSS-Score von 9.8/10 bietet SAP einen Workaround, empfiehlt aber besser die aufgeführten Support Packages. 3271523 – Remote Code Execution vulnerability associated with Apache Commons Text in SAP Commerce
Code Injection für AS ABAP
Nur knapp an der höchsten Kategorie „Hot News“ vorbeigeschrammt und mit CVSS-Score 8.8 bewertet: Der für BW-Tabellen gedachte Funktionsbaustein SHDB_TOOLS_RFC_WRAPPER in SAP_BASIS kann genutzt werden, um volle Kontrolle über das System zu erlangen. Der Hinweis enthält eine Korrektur, die den kritischen Code deaktiviert. Da die Funktion auch nur in sehr speziellen Fällen gebraucht wird, hat der Einbau des Hinweises wohl keine Auswirkungen auf produktive Prozesse. 3268172 – [CVE-2022-41264] Code Injection vulnerability in SAP BASIS
Und sonst so
Wie fast immer dabei: Ein Update für Google Chromium für den SAP Business Client. Der Score von 10/10 kommt wie immer vom höchsten Score in der Geschichte des Browser-Engines. Details im Hinweis 2622660 – Security updates for the browser control Google Chromium delivered with SAP Business Client
Unterlagen und Links
- Offizielle Übersicht SAP Patchday (PDF)
- Fiori/SAPUI5 und BusinessObjects | SAP Security Patchday November 2022
Demnächst…
Wir berichten regelmäßig über SAP Sicherheit aus der Praxis. Im Januar findet unser Webinar zum IT-Sicherheitsgesetz statt. Hier können Sie sich anmelden. Im März veranstalten wir außerdem einen Networking Lunch zum Thema „SAP Security 2023“ . Mehr Informationen zum Event und die Möglichkeit zur Anmeldung finden Sie hier.
