Nur warm: SAP UI5, SAP KM | SAP Security Patchday Juni 2023
Autor: Tobias Harmes | 14. Juni 2023
Der SAP Security Patchday im Juni war diesmal am 13.06.2023. Wie jeden zweiten Dienstag gab es neue Security-Hinweise, diesmal acht neue Security Notes und fünf Updates zu vorhergehenden Patchdays. Der SAP UI5-Hinweis ist vor allem bei Fiori-Nutzung einen Blick wert und SAP Knowledge Warehouse eventuell.
Der Juni ist noch ruhiger als der Mai-SAP-Patchday. SAP und andere Security Researcher haben trotzdem ein paar Dinge gemeldet, insgesamt aber nicht kritisch. Ich empfehle (wie immer) ein Durchschauen des offiziellen PDFs um herauszufinden, ob es relevante Hinweise für die eigene SAP-Landschaft gibt. Alternativ bekommt man auch eine Hinweis-Übersicht über das SAP-Support-Portal mit dem Expert-Filter oben „Patch-Tag (Patch Day)“ zusammen mit „Freigegeben am“.
Randnotiz: Nicht erschrecken, ich habe hier schon überall SAP for Me-Links eingebaut, an vielen Stellen ist jetzt schon die Umleitung von support.sap.com auf me.sap.com aktiv. SAP stellt immer noch alle Support-Nutzer um – wobei die Deadline vermutlich noch mal verlängert wird.
Nichts ist Hot genug
Diesmal nur Honorable Mentions, weil es keine Hinweise über CVSS-Score 9.0/10 gab.
Gefahr von unerwünschter Script-Ausführung in SAP UI5
Der Unterbau von Fiori-Apps und vielen mobilen SAP-Anwendungen SAP UI5 hat eine Schwachstelle, die dazu genutzt werden könnte, Scripte im Kontext und mit den Berechtigungen anderer User auszuführen. Für die Behebung der Schwachstelle mit dem CVSS-Score von 8.2/10 wird auf den Standard-UI5-Update-Hinweis verwiesen 3155948 – Aktualisierung der ABAP-SAPUI5-Patch-Version, alle Details im Security-Hinweis 3324285 – [CVE-2023-33991] – Stored-Cross-Site-Scripting-Schwachstelle in SAP UI5 (Variantenverwaltung)
Update-Update für SAP Knowledge Warehouse (Erst-Veröffentlichung 2021)
Ein Update einen Security-Hinweis gibt es für das SAP Knowledge Warehouse für NetWeaver 7.31 und 7.40 Releases. Ungepatcht konnten unautorisierte Angreifer beim Zugriff auf SAP KM/KW-Inhalte per Browser XSS-Angriffe durchführen. Original-Releases für die Schwachstelle mit CVSS-Score 8.8/10 war Dezember 2021. Also vielleicht den Hinweis noch mal prüfen. Alle Details im Hinweis 3102769 – [CVE-2021-42063] Cross-Site-Scripting-Schwachstelle (XSS) in SAP Knowledge Warehouse
Unterlagen und Links
- Offizielle Übersicht SAP Patchday (PDF)
- AK Security & Vulnerability Management AK
- Online-Session „Diskussion zu ausgewählten SAP Security Notes ab 29.06.2023
- Security Notes Webinar auf help.sap.com (ehemals SAP Security-Wiki)
- SAP 3D Visual Enterprise, BO/BI-Super-Patch | SAP Security Patchday Mai 2023
Demnächst…
Wir berichten regelmäßig über SAP Sicherheit aus der Praxis. Am 20.06.2023 findet unser Webinar „SAP Security: Tipps und Tricks für den Einstieg“ statt. Melden Sie sich gerne noch an. Weitere Webinare finden Sie hier.