Business Objects & SAP Build Apps | SAP Security Patchday August 2024
Autor: Tobias Harmes | 13. August 2024
Der SAP Security Patchday im August war am 13.08.2024. Wie jeden zweiten Dienstag im Monat gibt es am Patchday frische SAP Security-Hinweise. Nachdem der Juli ruhig war, gibt es im August mit 17 neuen und acht aktualisierten Security Notes wieder mehr Patch-To-Dos. Im Fokus stehen SAP Business Objects und durch SAP Build Apps erzeugte Anwendungen.
Im August gibt es zwei Hinweise mit der Einstufung „Hot News“ für Sicherheitslücken mit einem Risiko-Score CVSS >9.0. Auf der Support-Seite von SAP kann man die aktuellen Security Patch Day Details finden.
Hier ist ein anderer einfacher Weg zu den aktuellen Security Notes vom Patchday:
- https://me.sap.com/app/securitynotes aufrufen (S-User erforderlich)
- Optional: den CVSS-Score auf 8-10 einstellen, je nach Schutzbedarf
- Spalte „Freigegeben am“ finden und dort alle Einträge seit dem letzten Patchday studieren – die Filterung auf den aktuellen Monat lässt leider Updates aus, die zwischen den Patchdays veröffentlicht worden sind. (Danke an Jan für diesen Hinweis!)
SAP BusinessObjects BI Platform – Offenes Tor beim Single Sign On
In SAP BusinessObjects Business Intelligence Platform besteht eine mit CVSS-Score 9.8/10 bewertete Sicherheitslücke, wenn die „Single Sign-On“-Funktion aktiviert ist. Ein nicht autorisierter Benutzer kann diese Schwachstelle ausnutzen und sich über eine Schnittstelle (REST Endpoint) ein Anmeldetoken verschaffen. Mit diesem Token erhält er vollen Zugriff auf das System. Dadurch kann der Angreifer das gesamte System kompromittieren und vertrauliche Informationen einsehen, verändern oder das System lahmlegen.
Die Lösung ist das Einspielen von Updates. Einen Workaround gibt es nicht, Links zu den Support Packages und weitere Informationen im Hinweis 3479478 – [CVE-2024-41730] Missing Authentication check in SAP BusinessObjects Business Intelligence Platform
Alte Node.js Library gefährdet Anwendungen aus SAP Build Apps
Mit SAP Build Apps erzeugte Apps sind unter Umständen anfällig für die Sicherheitslücke CVE-2024-29415, da eine ältere Version der Node.js-Bibliothek verwendet wird. Dies stellt ein hohes Risiko für die Vertraulichkeit und Integrität der Daten dar, der CVSS-Score wurde mit 9.1/10 bewertet. Um das Problem zu beheben, muss die Anwendung in SAP Build Apps mit Version 4.11.130 oder einer neueren Version neu erstellt werden. Eine Umgehungslösung existiert nicht. Weitere Informationen zur Nutzung von SAP Build Apps finden sich im Hinweis 3477196 – [CVE-2024-29415] Server-Side Request Forgery vulnerability in applications built with SAP Build Apps
XML-Injection im BI-Java kann zum Angriff auf den ADS-Server genutzt werden
Keine Hot News, aber immerhin CVSS-Score 8.2/10: Wer die SAP-BEx-Java-Web-Laufzeit in seinem AS Java verwendet und eine ADS-Anbindung zur PDF-Generierung konfiguriert hat, könnte durch eine XML-Injection-Schwachstelle eine Überlastung seiner PDF-Server riskieren.
Lösung hier ist ein Update der entsprechenden Java-Komponenten, ein Workaround gibt es nicht. Infos im Hinweis 3485284 – [CVE-2024-42374] XML-Injection im Export-Web-Service der SAP-BEx-Java-Web-Laufzeit
Unterlagen und Links
Das war es schon. Wie immer schaue ich hier nur auf das, was die Schwelle von CVSS-Score 8.0 überschreitet. Bitte schaut selbst nach, ob für eure Systemumgebung und eurem Schutzbedarf nicht vielleicht doch etwas dabei ist.
- Alle Hinweise aus diesem Patchday: SAP Security Patch Day – August 2024
- AK Security & Vulnerability Management AK
- Online-Session „Diskussion zu ausgewählten SAP Security Notes ab 29.08.2024
- Security Notes Webinar auf help.sap.com
- SAP Financial Consolidation XSS | SAP Security Patchday Juni 2024 (Hinweis: Es gab keinen Beitrag im Juli, da kein Hinweis >8.0 da war)
Demnächst…
Webinar „Ihr SAP-System im Sicherheitscheck: Von Security Audits bis Pentests“ am 28.08.2024
Im Webinar entdecken Sie, wie regelmäßige Pentests und Security Audits genutzt werden können, um die Sicherheit Ihres SAP-Systems zu überprüfen und kontinuierlich zu verbessern. Erfahren Sie von unseren Experten die besten Methoden und Praxisbeispiele, um Ihr Sicherheitsmanagement effektiv zu gestalten.
Mehr erfahren und anmelden
Webinar „Systeme zur Angriffserkennung: Was Prüfer fordern und was Sinn ergibt“ am 19.09.2024
Erfahren Sie, wie Systeme zur Angriffserkennung nicht nur den regulatorischen Anforderungen genügen, sondern auch praktischen Mehrwert für Ihre IT-Sicherheit & SAP Security bieten. In unserem Vortrag diskutieren wir, welche Kriterien Prüfer setzen und welche Maßnahmen tatsächlich zur Stärkung Ihrer Unternehmensabwehr beitragen.
Mehr erfahren und anmelden