Datei-Download von SAP SRM MDM und Umgehung SAP BTP-Apps Authentifizierung | SAP Security Patchday Februar 2025
Autor: Tobias Harmes | 12. Februar 2025
Der SAP Security Patchday im Februar war am 11.02.2025. Wie jeden zweiten Dienstag im Monat gibt es am SAP Patchday frische SAP Security Notes. Diesmal kommen 19 neue Security-Hinweise und zwei Updates. Die kritischsten Hinweise in diesem Monat sind für AS Java und BusinessObjects und benötigen Admin-Rechte. Weniger Anforderungen haben leider die Lücken für das Lieferantenstammdatenmanagement und für Apps im Umfeld SAP BTP und SAP UI5 .
Im Februar ist es ruhiger als im letzten Monat. Kein Hinweis schafft die Einstufung „Hot News“ für Sicherheitslücken mit einem Risiko-Score CVSS >9.0. Auf der Support-Seite von SAP kann man die aktuellen Security Patch Day Details finden.
Hier ist ein anderer einfacher Weg zu den aktuellen Security Notes vom Patchday:
- https://me.sap.com/app/securitynotes aufrufen (S-User erforderlich)
- Optional: den CVSS-Score auf 8-10 einstellen, je nach Schutzbedarf
- Spalte „Freigegeben am“ finden und dort alle Einträge seit dem letzten Patchday studieren – die Filterung auf den aktuellen Monat lässt leider Updates aus, die zwischen den Patchdays veröffentlicht worden sind. (Danke an Jan für diesen Hinweis!)
Neuer Fix für alte Schwachstelle in AS Java User Admin
Eine alte Lücke aus dem Januar 2024 bekommt einen neuen Fix. Die mit CVSS 8.8/10 bewertete Schwachstelle erlaubt es, Admins versteckte URLs in einer entsprechenden Admin-Oberflächen-URL unterzuschieben, die nicht beabsichtigte Änderungen am System auslösen.
Die Lösung ist nun das Support Package aus einem neuen Hinweis: 3557138 – Update 1 to Security Note 3417627 – [CVE-2024-22126] Cross Site Scripting vulnerability in NetWeaver AS Java (User Admin Application). Details zu dem Update findet man im Original-Hinweis: 3417627 – [CVE-2024-22126] Cross Site Scripting vulnerability in NetWeaver AS Java (User Admin Application)
Admin kann Among Us spielen auf SAP Business Objects
Ein Angreifer mit Administratorrechten kann sich mit der Managementkonsole der SAP BusinessObjects BI-Plattform als beliebiger Benutzer im System ausgeben. Die Lücke wurde mit dem CVSS-Score 8.7/10 bewertet.
Als Lösung wird der Zugriff auf vertrauliche Schlüssel gesperrt. Das Einspielen erfolgt über das referenzierte Support Package, einen Workaround gibt es nicht. Details im Hinweis 3525794 – [CVE-2025-0064] Improper Authorization in SAP BusinessObjects Business Intelligence platform (Central Management Console)
Freier Download von internen Dateien über SAP SRM MDM Catalog
SAP SRM Master Data Management Catalog erlaubt einem nicht authentifizierten Angreifer die Verwendung eines öffentlich verfügbaren Servlets, um eine beliebige interne Datei über das Netzwerk herunterzuladen. Die Sicherheitslücke wurde mit CVSS 8.6/10 bewertet.
Der Support Package Patch sorgt dafür, dass die ausgewählten Pfade bereinigt und ein Download wahlfreier Dateien verhindert wird. Details und Links im Hinweis 3567551 – [CVE-2025-25243] Path traversal vulnerability in SAP Supplier Relationship Management (Master Data Management Catalog)
Node.js Lücke trifft BTP-Apps mit SAP Approuter
Der von BTP-Apps verwendete SAP Approuter vor 16.7.2 ist betroffen von einer Umgehung der Authentifizierung durch Injektion von Autorisierungscode in Node.js. Die Lücke hat einen CVSS-Score von 8.1/10.
Als Lösung müssen SAP Approuter mit der neuen Node.js Version 16.7.2 oder höher aktualisiert werden. Der entsprechende Hinweis bietet nur wenig Details: 3567974 – [CVE-2025-24876] Authentication bypass via authorization code injection in SAP Approuter
Unterlagen und Links
Das war es schon. Wie immer schaue ich hier nur auf das, was die Schwelle von CVSS-Score 8.0 überschreitet. Bitte schaut selbst nach, ob für eure Systemumgebung und eurem Schutzbedarf nicht vielleicht doch etwas dabei ist.
- Alle Hinweise aus diesem Patchday: SAP Security Patch Day – Februar 2025
- AK Security & Vulnerability Management AK
- Online-Session: „Diskussion zu ausgewählten SAP Security Notes“ ab dem 20.02.2025
- Security Notes Webinar Folien auf sap.com (werden zeitverzögert bereitgestellt unter Advisories)
- ABAP angreifbar mit 9.9/10 | SAP Security Patchday Januar 2025
Demnächst…
Am 25.02.2025: Webinar SAP Security: Last-Minute-Tipps, bevor die Prüfer kommen
Erfahren Sie die wichtigsten Hacks, um Ihre SAP Sicherheit zu stärken. Das lohnt sich besonders, wenn Sie kurz vor der Wirtschaftsprüfung oder Revision stehen und wichtige Stellschrauben rechtzeitig richtig stellen wollen. Wir geben Ihnen Last-Minute-Tipps für Ihre Systemsicherheit, damit die nächste Wirtschaftsprüfung nicht zum Schrecken wird.
Mehr erfahren und anmelden
Am 11.03.2025: Webinar So meistern Sie Identity & Access Management mit der SAP BTP
Cloud-Landschaften wachsen, neue SAP-Services werden integriert – doch wie bleibt die Identitäts- und Zugriffsverwaltung dabei effizient, sicher und regelkonform? In unserem Webinar erfahren Sie, wie Sie Identity und Access Management (IAM) in der SAP BTP optimal umsetzen.
Mehr erfahren und anmelden
Am 13.03.2025: Expertenforum in Frankfurt: S/4HANA und SAP Cloud – sicher für die Zukunft aufstellen
Freuen Sie sich auf spannende Vorträge rund um die sichere Migration von SAP-Berechtigungen sowie zukunftsfähige, hybride Cloud-Szenarien. Darüber hinaus vertiefen Sie Ihr Wissen in praxisnahen Masterclasses zur Simplification List und SAP BTP Security. Profitieren Sie von wertvollen Expertentipps und nutzen Sie die Gelegenheit, sich in angenehmer Atmosphäre mit Gleichgesinnten auszutauschen. Die Teilnahme ist für Sie kostenlos.
Mehr erfahren und anmelden
