Nur warm: SAP UI5, SAP KM | SAP Security Patchday Juni 2023

Autor: Tobias Harmes | 14. Juni 2023

13

Der SAP Security Patchday im Juni war diesmal am 13.06.2023. Wie jeden zweiten Dienstag gab es neue Security-Hinweise, diesmal acht neue Security Notes und fünf Updates zu vorhergehenden Patchdays. Der SAP UI5-Hinweis ist vor allem bei Fiori-Nutzung einen Blick wert und SAP Knowledge Warehouse eventuell.

Der Juni ist noch ruhiger als der Mai-SAP-Patchday. SAP und andere Security Researcher haben trotzdem ein paar Dinge gemeldet, insgesamt aber nicht kritisch. Ich empfehle (wie immer) ein Durchschauen des offiziellen PDFs um herauszufinden, ob es relevante Hinweise für die eigene SAP-Landschaft gibt. Alternativ bekommt man auch eine Hinweis-Übersicht über das SAP-Support-Portal mit dem Expert-Filter oben „Patch-Tag (Patch Day)“ zusammen mit „Freigegeben am“.

Randnotiz: Nicht erschrecken, ich habe hier schon überall SAP for Me-Links eingebaut, an vielen Stellen ist jetzt schon die Umleitung von support.sap.com auf me.sap.com aktiv. SAP stellt immer noch alle Support-Nutzer um – wobei die Deadline vermutlich noch mal verlängert wird.

Nichts ist Hot genug

Diesmal nur Honorable Mentions, weil es keine Hinweise über CVSS-Score 9.0/10 gab.

In diesem Webinar erfahren Sie, wie Sie als IT-Security-Verantwortliche die Security-Awareness in Ihrem Unternehmen erhöhen können. Sie erhalten von uns konkrete Best Practices und Maßnahmen.

Gefahr von unerwünschter Script-Ausführung in SAP UI5

Der Unterbau von Fiori-Apps und vielen mobilen SAP-Anwendungen SAP UI5 hat eine Schwachstelle, die dazu genutzt werden könnte, Scripte im Kontext und mit den Berechtigungen anderer User auszuführen. Für die Behebung der Schwachstelle mit dem CVSS-Score von 8.2/10 wird auf den Standard-UI5-Update-Hinweis verwiesen 3155948 – Aktualisierung der ABAP-SAPUI5-Patch-Version, alle Details im Security-Hinweis 3324285 – [CVE-2023-33991] – Stored-Cross-Site-Scripting-Schwachstelle in SAP UI5 (Variantenverwaltung)

Checkliste BSI-Grundschutzanforderungen für SAP-Systeme

Mit dieser Checkliste können Sie Schritt für Schritt überprüfen, ob ihr SAP-System den empfohlenen Sicherheitsanforderungen des BSI entspricht.

Update-Update für SAP Knowledge Warehouse (Erst-Veröffentlichung 2021)

Ein Update einen Security-Hinweis gibt es für das SAP Knowledge Warehouse für NetWeaver 7.31 und 7.40 Releases. Ungepatcht konnten unautorisierte Angreifer beim Zugriff auf SAP KM/KW-Inhalte per Browser XSS-Angriffe durchführen. Original-Releases für die Schwachstelle mit CVSS-Score 8.8/10 war Dezember 2021. Also vielleicht den Hinweis noch mal prüfen. Alle Details im Hinweis 3102769 – [CVE-2021-42063] Cross-Site-Scripting-Schwachstelle (XSS) in SAP Knowledge Warehouse

Demnächst…

Wir berichten regelmäßig über SAP Sicherheit aus der Praxis. Am 20.06.2023 findet unser Webinar „SAP Security: Tipps und Tricks für den Einstieg“ statt. Melden Sie sich gerne noch an. Weitere Webinare finden Sie hier.


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Tobias Harmes

Autor

Tobias Harmes

Experte, Speaker, Herausgeber rz10.de

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice