AS Java Usermanagement | SAP Security Patchday April 2024
Autor: Tobias Harmes | 9. April 2024
Der SAP Security Patchday im April war am 09.04.2024. Wie jeden zweiten Dienstag im Monat gibt es neue SAP-Security-Hinweise, wie schon im Februar auch diesmal 10 neue Security Notes inkl. zwei Updates zu vorhergehenden Patchdays. Über den CVSS-Score von 8.0 kommt nur eine Lücke im AS Java Usermanagement.
Es gibt diesmal keinen Hinweis der Priorität „Hot News“, also Sicherheitslücken mit einem Risiko-Score CVSS >9.0. Auf der Support-Seite von SAP kann man die aktuellen Security Patch Day Details finden.
Hier ist ein anderer einfacher Weg zu den aktuellen Security Notes vom Patchday:
- https://me.sap.com/app/securitynotes aufrufen (S-User erforderlich)
- Filter „Freigegeben am“ auswählen und dort den aktuellen Monat wählen
- Optional: den CVSS-Score auf 8-10 einstellen, je nach Schutzbedarf
Useradministration für AS JAVA angreifbar
Die Module „Self-Registration“ und „Modify your own profile“ der User Admin-App von NetWeaver AS Java sind angreifbar. Ohne Patch gibt keine besonderen Sicherheitsanforderungen an den Inhalt der Sicherheitsfragen, also den Antworten, die man als User konfigurieren kann.
Ich verstehe das so, dass die Sicherheitsantworten bisher nicht gesichert sind, ein Angreifer könnte diese Daten also abgreifen und für andere Zwecke verwenden. Die Lücke wird mit einem CVSS-Score von 8.8/10 geführt mit hohem Einfluss auf die Vertraulichkeit. Nach dem Patch werden die Sicherheitsantworten wie Passwörter behandelt (also vermutlich mindestens gehashed), außer dass sie by Design nicht Groß-/Kleinschreibung beachten.
Die Lösung kommt als Support Package Patch. Ein temporärer Workaround besteht darin, „Self-Registration“ und „Modify your own profile“ zu deaktivieren (falls überhaupt aktiviert). Details: 3434839 – [CVE-2024-27899] Security misconfiguration vulnerability in SAP NetWeaver AS Java User Management Engine
Das war es?
Jein. Wie immer schaue ich hier nur auf das, was die Schwelle von CVSS-Score 8.0 überschreitet. Bitte schaut selbst nach, ob für eure Systemumgebung und eurem Schutzbedarf nicht vielleicht doch etwas dabei ist. Die neue Übersicht von SAP hilft, mal eben die erwähnten Produkte zu überfliegen.
Unterlagen und Links
- SAP Knowledge Base – SAP Security Patch Day – April 2024
- AK Security & Vulnerability Management AK
- SAP Build Apps Apps | SAP Security Patchday März 2024
Demnächst…
Webinar: Erfolgsfaktoren der SAP-Salesforce-Integration: Strategien, Stolpersteine und Best Practices am 17.04.2024
Unternehmen, die Salesforce-Cloudlösungen nutzen und gleichzeitig ein ERP-System wie SAP einsetzen, profitieren von einer Integration beider Systeme, die den nahtlosen Datenaustausch ermöglicht. Diese Vernetzung vereinheitlicht Prozesse, steigert die Effizienz und verhindert redundante Datenpflege. In unserem kostenlosen Live-Webinar erläutern wir wichtige Aspekte dieser Integration, diskutieren häufige Herausforderungen, Potenziale, verschiedene Szenarien und geben Tipps für eine erfolgreiche Umsetzung.
Mehr erfahren und anmelden
Webinar: SAP Security: Last-Minute-Tipps, bevor die Prüfer kommen am 18.04.2024
Erfahren Sie die wichtigsten Hacks, um Ihre SAP Sicherheit zu stärken. Das lohnt sich besonders, wenn Sie kurz vor der Wirtschaftsprüfung oder Revision stehen und wichtige Stellschrauben rechtzeitig richtig stellen wollen. Wir geben Ihnen Last-Minute-Tipps für Ihre Systemsicherheit, damit die nächste Wirtschaftsprüfung nicht zum Schrecken wird.
Mehr erfahren und anmelden