AS Java Usermanagement | SAP Security Patchday April 2024

Autor: Tobias Harmes | 9. April 2024

5
SAP Security Patchday April 2024

Der SAP Security Patchday im April war am 09.04.2024. Wie jeden zweiten Dienstag im Monat gibt es neue SAP-Security-Hinweise, wie schon im Februar auch diesmal 10 neue Security Notes inkl. zwei Updates zu vorhergehenden Patchdays. Über den CVSS-Score von 8.0 kommt nur eine Lücke im AS Java Usermanagement.

Es gibt diesmal keinen Hinweis der Priorität „Hot News“, also Sicherheitslücken mit einem Risiko-Score CVSS >9.0. Auf der Support-Seite von SAP kann man die aktuellen Security Patch Day Details finden.

Hier ist ein anderer einfacher Weg zu den aktuellen Security Notes vom Patchday:

  1. https://me.sap.com/app/securitynotes aufrufen (S-User erforderlich)
  2. Filter „Freigegeben am“ auswählen und dort den aktuellen Monat wählen
  3. Optional: den CVSS-Score auf 8-10 einstellen, je nach Schutzbedarf

Useradministration für AS JAVA angreifbar

Die Module „Self-Registration“ und „Modify your own profile“ der User Admin-App von NetWeaver AS Java sind angreifbar. Ohne Patch gibt keine besonderen Sicherheitsanforderungen an den Inhalt der Sicherheitsfragen, also den Antworten, die man als User konfigurieren kann.

SAP Security& Berechtigungen

E-Book SAP Security und Berechtigungen

Circa 250 Fachartikel aus rund neun Jahren auf rund 1.000 Seiten - Tipps, Tricks und Tutorials mit Screenshots aus echten SAP Systemen.

Ich verstehe das so, dass die Sicherheitsantworten bisher nicht gesichert sind, ein Angreifer könnte diese Daten also abgreifen und für andere Zwecke verwenden. Die Lücke wird mit einem CVSS-Score von 8.8/10 geführt mit hohem Einfluss auf die Vertraulichkeit. Nach dem Patch werden die Sicherheitsantworten wie Passwörter behandelt (also vermutlich mindestens gehashed), außer dass sie by Design nicht Groß-/Kleinschreibung beachten.

Die Lösung kommt als Support Package Patch. Ein temporärer Workaround besteht darin, „Self-Registration“ und „Modify your own profile“ zu deaktivieren (falls überhaupt aktiviert). Details: 3434839 – [CVE-2024-27899] Security misconfiguration vulnerability in SAP NetWeaver AS Java User Management Engine

Das war es?

Jein. Wie immer schaue ich hier nur auf das, was die Schwelle von CVSS-Score 8.0 überschreitet. Bitte schaut selbst nach, ob für eure Systemumgebung und eurem Schutzbedarf nicht vielleicht doch etwas dabei ist. Die neue Übersicht von SAP hilft, mal eben die erwähnten Produkte zu überfliegen.

Demnächst…

Webinar: Erfolgsfaktoren der SAP-Salesforce-Integration: Strategien, Stolpersteine und Best Practices am 17.04.2024

Unternehmen, die Salesforce-Cloudlösungen nutzen und gleichzeitig ein ERP-System wie SAP einsetzen, profitieren von einer Integration beider Systeme, die den nahtlosen Datenaustausch ermöglicht. Diese Vernetzung vereinheitlicht Prozesse, steigert die Effizienz und verhindert redundante Datenpflege. In unserem kostenlosen Live-Webinar erläutern wir wichtige Aspekte dieser Integration, diskutieren häufige Herausforderungen, Potenziale, verschiedene Szenarien und geben Tipps für eine erfolgreiche Umsetzung.
Mehr erfahren und anmelden

Webinar: SAP Security: Last-Minute-Tipps, bevor die Prüfer kommen am 18.04.2024

Erfahren Sie die wichtigsten Hacks, um Ihre SAP Sicherheit zu stärken. Das lohnt sich besonders, wenn Sie kurz vor der Wirtschaftsprüfung oder Revision stehen und wichtige Stellschrauben rechtzeitig richtig stellen wollen. Wir geben Ihnen Last-Minute-Tipps für Ihre Systemsicherheit, damit die nächste Wirtschaftsprüfung nicht zum Schrecken wird.
Mehr erfahren und anmelden


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Tobias Harmes

Autor

Tobias Harmes

Experte, Speaker, Herausgeber rz10.de

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice