Kundeneigene BTP-Apps mit Lücken | SAP Security Patchday Dezember 2023
Autor: Tobias Harmes | 12. Dezember 2023
Der SAP Security Patchday Dezember war am 12.12.2023. Wie jeden Monat am zweiten Dienstag gibt es frische SAP Security-Hinweise, diesmal 15 neue Security Notes und zwei Updates zu vorhergehenden Patchdays. BTP-Entwickler sollten ihre Abhängigkeiten prüfen und Bibliotheken aktualisieren.
Es gibt vier Hinweise der Priorität „Hot News“, also Sicherheitslücken mit einem Risiko-Score CVSS >9.0, drei davon sind allerdings Updates. Ich empfehle trotzdem (wie immer) ein Durchschauen des offiziellen PDFs, um herauszufinden, ob es relevante Hinweise für die eigene SAP-Landschaft gibt. Alternativ bekommt man auch eine Hinweis-Übersicht über das SAP-Support-Portal mit dem Expert-Filter oben „Patch-Tag (Patch Day)“ zusammen mit „Freigegeben am“.
Zugriff für Nicht-Authentifizierte Benutzer auf selbstentwickelte BTP-Apps
Eine aktuelle Schwachstelle mit CVSS-Score 9.1/10 in den BTP Security Services erlaubt nicht-authentifizierten Angreifern, ihre Rechte zu erhöhen. Die Lösung ist abhängig vom gewählten Programmiermodell bzw. der eingesetzten Programmiersprache, betroffen sind Node.js, Java, Python und Golang. Wer selbstgeschriebene Apps auf der BTP betreibt, die nicht gerade für anonymen Zugriff konzipiert sind, der dürfte seine Bibliotheken aktualisieren und die Apps neu verteilen müssen.
Details mit Lösungsweg für die verschiedenen Deployment-Modell in dem Hinweis 3411067 – [Multiple CVEs] Escalation of Privileges in SAP Business Technology Platform (BTP) Security Services Integration Libraries.
Sonstige Hot News-Updates: Chromium und IS-OIL
Chromium Engine für den SAP Business Client ist als Dauergast wieder dabei, das letzte Google-Update adressiert eine Schwachstelle mit CVSS-Score 8.8: 2622660 – Security updates for the browser control Google Chromium delivered with SAP Business Client
Im Juli gemeldet mit einem CVSS-Score von 9.1/10 und jetzt aktualisiert, ist ein Hinweis für eine Schwachstelle in IS-OIL: 3350297 – [CVE-2023-36922] OS command injection vulnerability in SAP ECC and SAP S/4HANA (IS-OIL) – und noch eine Ergänzung für den Hinweis in einem zweiten Hinweis: 3399691 – Update 1 to 3350297 – [CVE-2023-36922] OS command injection vulnerability in SAP ECC and SAP S/4HANA (IS-OIL). Beide Hinweise sind nur relevant, wenn man auch die Branchenlösung IS-OIL aktiv hat – was allerdings auch manchmal aus Versehen passiert sein kann. Also im Zweifel trotzdem mal drauf gucken.
Unterlagen und Links
- Offizielle Übersicht SAP Patchday (PDF)
- AK Security & Vulnerability Management AK
- Online-Session “Diskussion zu ausgewählten SAP Security Notes ab 19.12.2023
- Security Notes Webinar auf help.sap.com (ehemals SAP Security-Wiki)
- Business One: Freigabe für alle | SAP Security Patchday November 2023
Demnächst…
DSAG-Afterparty am 06.02.2024 in Hamburg
Wenn Sie auf den DSAG-Technologietagen in Hamburg dabei sind, kommen Sie gerne bei unserer Day-1-Afterparty vorbei. Lassen Sie uns den ersten Abend der DSAG-Technologietage bei dem einen oder anderen guten Drink, leckerem Essen und in entspannter Atmosphäre ausklingen.
Zur Anmeldung