Nur warm: SAP UI5, SAP KM | SAP Security Patchday Juni 2023

Der Juni ist noch ruhiger als der Mai-SAP-Patchday. SAP und andere Security Researcher haben trotzdem ein paar Dinge gemeldet, insgesamt aber nicht kritisch. Ich empfehle (wie immer) ein Durchschauen des offiziellen PDFs um herauszufinden, ob es relevante Hinweise für die eigene SAP-Landschaft gibt. Alternativ bekommt man auch eine Hinweis-Übersicht über das SAP-Support-Portal mit dem Expert-Filter oben „Patch-Tag (Patch Day)“ zusammen mit „Freigegeben am“.

Randnotiz: Nicht erschrecken, ich habe hier schon überall SAP for Me-Links eingebaut, an vielen Stellen ist jetzt schon die Umleitung von support.sap.com auf me.sap.com aktiv. SAP stellt immer noch alle Support-Nutzer um – wobei die Deadline vermutlich noch mal verlängert wird.

Nichts ist Hot genug

Diesmal nur Honorable Mentions, weil es keine Hinweise über CVSS-Score 9.0/10 gab.

Webinar: Hacker hassen diesen Trick: Praxismaßnahmen für IT-Security-Awareness

In diesem Webinar erfahren Sie, wie Sie als IT-Security-Verantwortliche die Security-Awareness in Ihrem Unternehmen erhöhen können. Sie erhalten von uns konkrete Best Practices und Maßnahmen.

Jetzt anmelden

Gefahr von unerwünschter Script-Ausführung in SAP UI5

Der Unterbau von Fiori-Apps und vielen mobilen SAP-Anwendungen SAP UI5 hat eine Schwachstelle, die dazu genutzt werden könnte, Scripte im Kontext und mit den Berechtigungen anderer User auszuführen. Für die Behebung der Schwachstelle mit dem CVSS-Score von 8.2/10 wird auf den Standard-UI5-Update-Hinweis verwiesen 3155948 – Aktualisierung der ABAP-SAPUI5-Patch-Version, alle Details im Security-Hinweis 3324285 – [CVE-2023-33991] – Stored-Cross-Site-Scripting-Schwachstelle in SAP UI5 (Variantenverwaltung)

Checkliste BSI-Grundschutzanforderungen für SAP-Systeme

Mit dieser Checkliste können Sie Schritt für Schritt überprüfen, ob ihr SAP-System den empfohlenen Sicherheitsanforderungen des BSI entspricht.

Jetzt anfordern

Checkliste BSI-Grundschutzanforderungen für SAP-Systeme

×

Update-Update für SAP Knowledge Warehouse (Erst-Veröffentlichung 2021)

Ein Update einen Security-Hinweis gibt es für das SAP Knowledge Warehouse für NetWeaver 7.31 und 7.40 Releases. Ungepatcht konnten unautorisierte Angreifer beim Zugriff auf SAP KM/KW-Inhalte per Browser XSS-Angriffe durchführen. Original-Releases für die Schwachstelle mit CVSS-Score 8.8/10 war Dezember 2021. Also vielleicht den Hinweis noch mal prüfen. Alle Details im Hinweis 3102769 – [CVE-2021-42063] Cross-Site-Scripting-Schwachstelle (XSS) in SAP Knowledge Warehouse

Unterlagen und Links

• Offizielle Übersicht SAP Patchday (PDF)
• AK Security & Vulnerability Management AK
  • Online-Session “Diskussion zu ausgewählten SAP Security Notes ab 29.06.2023
  • Security Notes Webinar auf help.sap.com (ehemals SAP Security-Wiki)
• SAP 3D Visual Enterprise, BO/BI-Super-Patch | SAP Security Patchday Mai 2023

Demnächst…

Wir berichten regelmäßig über SAP Sicherheit aus der Praxis. Am 20.06.2023 findet unser Webinar „SAP Security: Tipps und Tricks für den Einstieg“ statt. Melden Sie sich gerne noch an. Weitere Webinare finden Sie hier.