Fiori/SAPUI5 und BusinessObjects | SAP Security Patchday November 2022
Autor: Tobias Harmes | 10. November 2022
Wie jeden zweiten Dienstag im Monat war auch am 08.11.2022 wieder der SAP Security Patchday. Es gab diesmal neun neue Security Hinweise und zusätzlich zwei Updates von zuvor veröffentlichten Hinweisen. Alle die das SAPUI5-Framework einsetzen (wie z.B. Fiori-Apps), sollten genauer hinschauen.
Ich empfehle wie immer ein kurzes Überfliegen des offiziellen PDFs um herauszufinden, ob es weitere relevante Hinweise für in der eigenen Landschaft eingesetzte SAP Lösungen gibt. Alternativ erhält man auch eine Übersicht über das Support-Portal mit dem Filter oben „Patch Day“.
Fiori-Apps angreifbar übers Netz
Durch die Nutzung von SQLite im SAPUI5-Framework wirkt sich nun auch dort aufgetauchte Schwachstellen auf SAPUI5-basierten Webapps aus. Die bekannten Fiori-Apps von SAP basieren auf SAPUI5.
Je nach Version der installierter SAP_UI-Komponente und Stand der eingebetteten SQLite Version kann es möglich sein, dass sogar Daten von niedrig privilegierten Usern über das Netz manipuliert und abgegriffen werden können. Die CVSS-Score-Einschätzung liegt bei 9.8 (CVE-2021-20223). Ohne Anmeldung kann zumindest die Verfügbarkeit der Webapp gestört werden (CVSS 7.5, CVE-2022-35737).
Einen Workaround gibt es nicht, SAP empfiehlt das Einspielen der neuesten passenden SAP_UI-Version. Details gibt es im Hinweis: 3249990 – [CVE-2021-20223] Multiple Vulnerabilities in SQlite bundled with SAPUI5 und im Hinweis 3155948 – ABAP SAPUI5 patch version update
Übernahmemöglichkeit SAP BusinessObjects BI Platform
Bei der SAP BusinessObjects BI Platform gibt eine Schwachstelle in Workflows, die gering privilegierte Angreifer nutzen können, um ungeprüft Daten zu injizieren – mit hohem Risiko für Vertraulichkeit, Integrität und Verfügbarkeit. Der CVSS-Score dafür war dann auch 9.9/10.
SAP empfiehlt entsprechend die verfügbaren Support Packages zu installieren. Es wird auch ein Workaround angeboten, der aber nur als temporäre Maßnahme geeignet ist. Mehr Details im Hinweis 3243924 – [CVE-2022-41203] Insecure Deserialization of Untrusted Data in SAP BusinessObjects Business Intelligence Platform (Central Management Console and BI Launchpad)
SAP Commerce Account hijacking – (K)ein Update
Der Hinweis aus dem Oktober wurde aktualisiert. So richtig verstehe ich es selbst nicht – das Hinweisupdate enthält einen Hinweis, dass ein vorhergehendes Update des Hinweises ignoriert werden kann. Ich interpretiere es so: wer den Hinweis schon eingespielt hat, ist safe. 3239152 – [CVE-2022-41204] Account hijacking through URL Redirection vulnerability in SAP Commerce login form stellt Workarounds zur Verfügung, die entsprechend manipulierte Aufrufe abwehren und Patches, damit die Systemlogik entsprechende Anfragen verwirft.
Datei lesen und löschen von außen auf ABAP Systemen
Zwar keine Hot News, aber trotzdem eine Erwähnung wert. Hoch-privilegierte Anwender können über Remote Funktionen Dateien auf einem Application Server ABAP lesen (CVSS-Score 4.9/10) oder sogar löschen (CVSS Score 8.7/10). Möglich wird das durch unzureichende Eingabevalidierung.
Lösung hierfür ist das entsprechende Support Package für die Komponente SAP_BASIS bzw. die Korrektur im Hinweis. Detail im Hinweis 3256571 – [CVE-2022-41214] Multiple vulnerabilities in SAP NetWeaver Application Server ABAP and ABAP Platform.
Unterlagen und Links
In diesem Webinar erfahren Sie, wie Sie Ihre SAP Lizenzen toolgestützt vermessen können und so Kosten einsparen und Nachforderungen vermeiden können.
Demnächst…
Wir berichten regelmäßig über SAP Sicherheit aus der Praxis. Als nächstes findet am 21.11.22 findet um 10 Uhr das Webinar SAP Lizenzen entspannt vermessen und Nachforderungen vermeiden statt. Weitere Webinare finden Sie hier.
