SAP Financial Consolidation XSS | SAP Security Patchday Juni 2024
Autor: Tobias Harmes | 11. Juni 2024
Der SAP Security Patchday im Juni war am 11.06.2024. Wie jeden zweiten Dienstag im Monat gibt es am Patchday neue SAP Security-Hinweise. Diesen Monat geht es wieder ruhiger zu: Es gab 10 neue und drei aktualisierte Security Notes. Auf meiner Liste dieses Mal nur das Spezialtool SAP Financial Consolidation.
Im Gegensatz zu den drei Hot News aus dem Mai, kommt der Juni-Patchday deutlich entspannter daher, denn kein Hinweis erhält die Einstufung „Hot News“ für Sicherheitslücken mit einem Risiko-Score CVSS >9.0. Auf der Support-Seite von SAP kann man die aktuellen Security Patch Day Details finden.
Hier ist ein anderer einfacher Weg zu den aktuellen Security Notes vom Patchday:
- https://me.sap.com/app/securitynotes aufrufen (S-User erforderlich)
- Optional: den CVSS-Score auf 8-10 einstellen, je nach Schutzbedarf
- Spalte „Freigegeben am“ finden und dort alle Einträge seit dem letzten Patchday studieren – die Filterung auf den aktuellen Monat lässt leider Updates aus, die zwischen den Patchdays veröffentlicht worden sind. (Danke an Jan für diesen Hinweis!)
Cross-Site Scripting (XSS) Schwachstelle in SAP Financial Consolidation
Das Web-Tool SAP Financial Reporting ist anfällig dafür, dass Daten von nicht vertrauenswürdigen Quellen in die Webapplikation eingeschleust werden können. Die Lücke mit eine CVSS-Score von 8.1/10 gefährdet Vertraulichkeit und Integrität der Web-Applikation. Außerdem wird in einer zweiten Lücke Benutzereingaben unzureichende entwertet, diese hat einen Score von CVSS 5.0/10.
Die Lösung für beide Probleme ist das Einspielen des aktuellen Support Package, Details dazu im Hinweis 3457592 – [CVE-2024-37177] Cross-Site Scripting (XSS) vulnerabilities in SAP Financial Consolidation.
Unterlagen und Links
Das war es schon. Wie immer schaue ich hier nur auf das, was die Schwelle von CVSS-Score 8.0 überschreitet. Bitte schaut selbst nach, ob für eure Systemumgebung und euren Schutzbedarf nicht vielleicht doch etwas dabei ist.
- Alle Hinweise aus diesem Patchday: SAP Security Patch Day – June 2024
- AK Security & Vulnerability Management AK
Demnächst…
Expertenforum in Köln: SAP Audit Findings loswerden am 25.06.2024
So werden Sie SAP Audit Findings (oder den Prüfer) los: Egal, ob der Prüfbericht schon vorliegt oder noch kommt, wohl kein SAP-System der Welt kommt ohne Feststellungen durch eine Prüfung. Erfahren Sie deshalb, wie Sie effektiv mit Herausforderungen in Audits umgehen, wie Sie sich von Tools zur Angriffserkennung helfen lassen können und wie Sie die Prüfer glücklich machen. Entdecken Sie die Tipps unserer Experten und tauschen Sie sich in ungezwungener Atmosphäre und bei gutem Essen mit SAP Security Verantwortlichen & Mitarbeitenden anderer Unternehmen aus.
Mehr erfahren und anmelden
SAP Cloud Security und Identity Management am 16.07.2024
In diesem Webinar erfahren Sie die Grundlagen der SAP Cloud Security, praxisnahe Beispiele und Optimierungsmöglichkeiten und wie Sie ein sicheres IAM in der SAP Cloud aufbauen.
Mehr erfahren und anmelden
2 Kommentare zu "SAP Financial Consolidation XSS | SAP Security Patchday Juni 2024"
Hallo Tobias,
Danke für deine coolen Zusammenfassungen in eurem Blog
nur eine kleine Anmerkung, zu deinem Tip (weil das Bsp auch gerade so schön passt ) 😉
über den Link https://me.sap.com/app/securitynotes und den aktuellen Monat gehen unter Umständen Hinweise unter (die mit Status “Update” für diese beiden Fälle, gut haben nicht so hohe CVSS , sind aber wegen des Datums nur im Mai finden…)
FI-CF-INF 2638217 Switchable Authorization Checks in Central Finance Infrastructure Components 3,9 CVSS:3.0/AV:N/AC:H/PR:H/UI:R/S:U/C:L/I:L/A:L Program error Correction with low priority 28.05.2024 13.06.2018
BC-MID-AC 3450286 [CVE-2024-32733] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Application Server ABAP and ABAP Platform 6,1 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N Program error Correction with medium priority 28.05.2024 14.05.2024
Danke und
Viele Grüsse
Jan
Hi Jan,
du hast recht, ab und zu werden ja auch noch Hinweise zwischen den Patchdays aktualisiert und die bekomme ich dann nicht komplett mit dem eingebauten Filter :(. Ich habe einen neuen Screenshot gemacht und die Anleitung angepasst. Danke für dein Feedback 🙂
VG Tobias