SAP Business Application Studio und Integration Cell | SAP Security Patchday Januar 2024
Autor: Tobias Harmes | 9. Januar 2024
Der SAP Security Patchday Januar war am 09.01.2024. Wie jeden zweiten Dienstag im Monat gibt es frische SAP Security-Hinweise, diesmal 10 neue Security Notes und zwei Updates zu vorhergehenden Patchdays. Es gibt weitere Auswirkungen von den erkannten Schwachstellen in den BTP Security Services aus dem Dezember.
Es gibt drei Hinweise der Priorität „Hot News“, also Sicherheitslücken mit einem Risiko-Score CVSS >9.0, davon ein Update. Ich empfehle trotzdem (wie immer) ein Durchschauen des offiziellen PDFs um herauszufinden, ob es relevante Hinweise für die eigene SAP-Landschaft gibt. Alternativ bekommt man auch eine Hinweis-Übersicht über das SAP-Support-Portal mit dem Expert-Filter oben „Patch-Tag (Patch Day)“ zusammen mit „Freigegeben am“.
Zugriff für Nicht-Authentifizierte Benutzer für Apps aus dem SAP Business Application Studio, SAP Web IDE Full-Stack and SAP Web IDE for SAP HANA
Zuerst das Update des ursprünglichen Hinweises: Im Dezember wurde eine Schwachstelle mit CVSS-Score 9.1/10 in den BTP Security Services gemeldet, deren Hinweis jetzt aktualisiert wurde. Sie erlaubt nicht-authentifizierten Angreifern, ihre Rechte zu erhöhen. Die Lösung ist abhängig vom gewählten Programmiermodell bzw. der eingesetzten Programmiersprache, betroffen sind Node.js, Java, Python und Golang.
Im Update aus dem Januar sind jetzt noch mehr Details und ein FAQ verlinkt worden. Link auf den Diff des aktualisierten Hinweises 3411067 – [Multiple CVEs] Escalation of Privileges in SAP Business Technology Platform (BTP) Security Services Integration Libraries.
Dazu gibt es jetzt auch einen neuen Hinweis, ebenfalls mit CVSS-Score 9.1/10, der eben nicht die Programmier-Frameworks, sondern die eingesetzten Programmierplattformen referenziert: SAP Business Application Studio, SAP Web IDE Full-Stack and SAP Web IDE for SAP HANA. Die Schwachstelle ist aber die gleiche. Ich vermute mal, dass das zu einer erhöhten Awareness bei SAP-Kunden beitragen soll, weil Team Security nicht immer weiß, was und ob entsprechende Programmiersprachen eingesetzt werden – die Prüfung dagegen leichter fällt, ob entsprechende Software bzw. BTP-Services eingesetzt werden.
Die Lösung ist bei diesem Hinweis die gleiche wie im Hinweis aus dem Dezember, die Abhängigkeiten zu @sap/approuter und @sap/xssec müssen aktualisiert werden. Details dazu im Hinweis 3412456 – [CVE-2023-49583] Escalation of Privileges in applications developed through SAP Business Application Studio, SAP Web IDE Full-Stack and SAP Web IDE for SAP HANA.
Es gilt weiterhin: Wer selbstgeschriebene Apps auf der BTP betreibt, die nicht gerade für anonymen Zugriff konzipiert sind, der dürfte seine Bibliotheken aktualisieren und die Apps neu verteilen müssen.
Zugriff für Nicht-Authentifizierte Benutzer auf SAP Edge Integration Cell
Und noch ein Hinweis mit Bezug auf die weiter oben genannte Schwachstelle in den SAP BTP Security Services. Die lokale SAP Integration Suite Instanz „SAP Edge Integration Cell“ verwendet ebenfalls die mit Schwachstellen behaftete Bibliotheken und muss deshalb aktualisiert werden. Das geht laut verlinktem Upgrade-Guide mehr oder weniger per Klick. Allerdings muss man beim Update mit Serviceunterbrechungen bei den damit involvierten Integration-Flows rechnen. Einen Workaround gibt es nicht. Details dazu im Hinweis 3413475 – [Multiple CVEs] Escalation of Privileges in SAP Edge Integration Cell.
Ausführen von Betriebssystem-Kommandos beim SAP Application Interface Framework (SAP AIF)
Eine Schwachstelle in der 3.0-Version des SAP AIF erlaubt das Ausführen von Kommandos auf Betriebssystemebene. Die Lücke hat einen CVSS-Score von 8.4/10. Ein Funktionsbaustein für das Anlegen von neuen Verzeichnissen hat diese Lücke und wird mit dem Hinweis deaktiviert. Neuere Versionen von SAP AIF haben diese Lücke nicht. Details im Hinweis 3411869 – [CVE-2024-21737] Code Injection vulnerability in SAP Application Interface Framework (File Adapter).
Unterlagen und Links
- Offizielle Übersicht SAP Patchday (PDF)
- AK Security & Vulnerability Management AK
- Kundeneigene BTP-Apps mit Lücken | SAP Security Patchday Dezember 2023
Demnächst…
Webinar am 30.01.2024: Identity Management: Benutzerverwaltung automatisiert & sicher
Entdecken Sie im Webinar, wie Sie durch optimiertes Identity Management Ihre Prozesseffizienz steigern, die IT entlasten und Systemsicherheit erhöhen.
Zur Anmeldung
DSAG-Afterparty am 06.02.2024 in Hamburg
Wenn Sie auf den DSAG-Technologietagen in Hamburg dabei sind, kommen Sie gerne bei unserer Day-1-Afterparty vorbei. Lassen Sie uns den ersten Abend der DSAG-Technologietage bei dem einen oder anderen guten Drink, leckerem Essen und in entspannter Atmosphäre ausklingen.
Zur Anmeldung