Business Objects & SAP Build Apps | SAP Security Patchday August 2024

Autor: Tobias Harmes | 13. August 2024

5

Der SAP Security Patchday im August war am 13.08.2024. Wie jeden zweiten Dienstag im Monat gibt es am Patchday frische SAP Security-Hinweise. Nachdem der Juli ruhig war, gibt es im August mit 17 neuen und acht aktualisierten Security Notes wieder mehr Patch-To-Dos. Im Fokus stehen SAP Business Objects und durch SAP Build Apps erzeugte Anwendungen.

Im August gibt es zwei Hinweise mit der Einstufung „Hot News“ für Sicherheitslücken mit einem Risiko-Score CVSS >9.0. Auf der Support-Seite von SAP kann man die aktuellen Security Patch Day Details finden.

Hier ist ein anderer einfacher Weg zu den aktuellen Security Notes vom Patchday:

  1. https://me.sap.com/app/securitynotes aufrufen (S-User erforderlich)
  2. Optional: den CVSS-Score auf 8-10 einstellen, je nach Schutzbedarf
  3. Spalte „Freigegeben am“ finden und dort alle Einträge seit dem letzten Patchday studieren – die Filterung auf den aktuellen Monat lässt leider Updates aus, die zwischen den Patchdays veröffentlicht worden sind. (Danke an Jan für diesen Hinweis!)

SAP BusinessObjects BI Platform – Offenes Tor beim Single Sign On

In SAP BusinessObjects Business Intelligence Platform besteht eine mit CVSS-Score 9.8/10 bewertete  Sicherheitslücke, wenn die „Single Sign-On“-Funktion aktiviert ist. Ein nicht autorisierter Benutzer kann diese Schwachstelle ausnutzen und sich über eine Schnittstelle (REST Endpoint) ein Anmeldetoken verschaffen. Mit diesem Token erhält er vollen Zugriff auf das System. Dadurch kann der Angreifer das gesamte System kompromittieren und vertrauliche Informationen einsehen, verändern oder das System lahmlegen.

Die Lösung ist das Einspielen von Updates. Einen Workaround gibt es nicht, Links zu den Support Packages und weitere Informationen im Hinweis 3479478 – [CVE-2024-41730] Missing Authentication check in SAP BusinessObjects Business Intelligence Platform

Alte Node.js Library gefährdet Anwendungen aus SAP Build Apps

Mit SAP Build Apps erzeugte Apps sind unter Umständen anfällig für die Sicherheitslücke CVE-2024-29415, da eine ältere Version der Node.js-Bibliothek verwendet wird. Dies stellt ein hohes Risiko für die Vertraulichkeit und Integrität der Daten dar, der CVSS-Score wurde mit 9.1/10 bewertet. Um das Problem zu beheben, muss die Anwendung in SAP Build Apps mit Version 4.11.130 oder einer neueren Version neu erstellt werden. Eine Umgehungslösung existiert nicht. Weitere Informationen zur Nutzung von SAP Build Apps finden sich im Hinweis 3477196 – [CVE-2024-29415] Server-Side Request Forgery vulnerability in applications built with SAP Build Apps

XML-Injection im BI-Java kann zum Angriff auf den ADS-Server genutzt werden

Keine Hot News, aber immerhin CVSS-Score 8.2/10: Wer die SAP-BEx-Java-Web-Laufzeit in seinem AS Java verwendet und eine ADS-Anbindung zur PDF-Generierung konfiguriert hat, könnte durch eine XML-Injection-Schwachstelle eine Überlastung seiner PDF-Server riskieren.

Lösung hier ist ein Update der entsprechenden Java-Komponenten, ein Workaround gibt es nicht. Infos im Hinweis 3485284 – [CVE-2024-42374] XML-Injection im Export-Web-Service der SAP-BEx-Java-Web-Laufzeit

Das war es schon. Wie immer schaue ich hier nur auf das, was die Schwelle von CVSS-Score 8.0 überschreitet. Bitte schaut selbst nach, ob für eure Systemumgebung und eurem Schutzbedarf nicht vielleicht doch etwas dabei ist.

Demnächst…

Webinar „Ihr SAP-System im Sicherheitscheck: Von Security Audits bis Pentests“ am 28.08.2024

Im Webinar entdecken Sie, wie regelmäßige Pentests und Security Audits genutzt werden können, um die Sicherheit Ihres SAP-Systems zu überprüfen und kontinuierlich zu verbessern. Erfahren Sie von unseren Experten die besten Methoden und Praxisbeispiele, um Ihr Sicherheitsmanagement effektiv zu gestalten.
Mehr erfahren und anmelden

Webinar „Systeme zur Angriffserkennung: Was Prüfer fordern und was Sinn ergibt“ am 19.09.2024

Erfahren Sie, wie Systeme zur Angriffserkennung nicht nur den regulatorischen Anforderungen genügen, sondern auch praktischen Mehrwert für Ihre IT-Sicherheit & SAP Security bieten. In unserem Vortrag diskutieren wir, welche Kriterien Prüfer setzen und welche Maßnahmen tatsächlich zur Stärkung Ihrer Unternehmensabwehr beitragen.
Mehr erfahren und anmelden


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Tobias Harmes

Autor

Tobias Harmes

Experte, Speaker, Herausgeber rz10.de

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice