SAP Build Apps Apps | SAP Security Patchday März 2024
Autor: Tobias Harmes | 12. März 2024
Der SAP Security Patchday im März war am 12.03.2024. Wie jeden zweiten Dienstag im Monat gibt es SAP-Security-Hinweise am Stück, diesmal 10 neue Security Notes inkl. zwei Updates zu vorhergehenden Patchdays. SAP Build Apps hat unsichere Apps gebaut und AS Java Admins dürfen zu viel.
Es gibt drei Hinweise der Priorität „Hot News“, also Sicherheitslücken mit einem Risiko-Score CVSS >9.0, davon ein Update. Statt dem bisherigen PDF kann man auf der Support-Seite von SAP nun die aktuellen Security Patch Day Details finden.
Hier ist ein einfacher Weg zu den aktuellen Security Notes vom Patchday:
- https://me.sap.com/app/securitynotes aufrufen (S-User erforderlich)
- Filter „Freigegeben am“ auswählen und dort den aktuellen Monat wählen
- Optional: den CVSS-Score auf 8-10 einstellen, je nach Schutzbedarf
Von SAP Build Apps erstellte Anwendungen haben Schwachstellen
Im Rahmen des SAP Security Patch Days wurde eine kritische Sicherheitslücke in Anwendungen identifiziert, die mit SAP Build Apps erstellt wurden. Die Schwachstelle mit einem CVSS-Score von 9.2/10 ermöglicht es Angreifern, unautorisierte Befehle auf dem System auszuführen. Dies kann zu einer Beeinträchtigung der Integrität und Verfügbarkeit der Anwendung führen.
Als Lösung für dieses Problem empfiehlt SAP, die betroffenen Anwendungen in SAP Build Apps mit der Version 4.9.145 oder einer späteren Version neu zu erstellen. Für weitere Informationen zur Nutzung von SAP Build Apps und zur Behebung dieser Schwachstelle wird auf die entsprechende Dokumentation verwiesen. Es gibt keinen Workaround für dieses Problem, was die Wichtigkeit einer zeitnahen Umsetzung der empfohlenen Maßnahmen unterstreicht. Alle Infos hier: 3425274 – [CVE-2019-10744] Code Injection vulnerability in applications built with SAP Build Apps
AS Java Administrator Log-Viewer angreifbar
Erneut gibt es eine Sicherheitslücke im Umfeld der SAP NetWeaver AS Java Administration. Mit einem CVSS-Score von 9.1 kann das Administrator Log Viewer Plug-in angegriffen werden. Die Schwachstelle ermöglicht es einem Angreifer mit hohen Privilegien, potenziell gefährliche Dateien hochzuladen, was zu einer Code-Injection führen kann. Ein solcher Angriff könnte schwerwiegende Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung haben.
Die Lösung kommt als Support Package Patch und beschränkt den Upload auf spezifische Dateitypen. Ergänzt um die Empfehlung, jede Datei automatisch auf Bedrohungen zu scannen. Ein temporärer Workaround besteht darin, NetWeaver-Administratoren Rechte zu entziehen. Details: 3433192 – [CVE-2024-22127] Code Injection vulnerability in SAP NetWeaver AS Java (Administrator Log Viewer plug-in)
Update zu „SAP Commerce Cloud hat manchmal leere Passwörter“
Im Patch Day für den August 2023 gab es einen kuriosen Hinweis mit einem Score von 8.8/10. SAP Commerce Cloud erlaubte es bisher im Standard auch über externe Tools, User mit leeren Passwörtern anzulegen. Und die haben dann auch ohne Passwort funktioniert.
Laut Change-Protokoll wurden jetzt weitere relevante SAP Commerce Cloud Versionen explizit im Hinweis genannt, bei dem dieses Verhalten abgeschaltet ist. Ich verlinke die Changes hier: Hinweis 3346500 – [CVE-2023-39439] Improper authentication in SAP Commerce Cloud
Update zu „Chromium für den Business Client“ (again)
Wenn ich den Business Client mit Chromium-Engine im Einsatz habt, dann bitte mal wieder updaten. Letzter Score von Google war 9.8/10, Exploits sind laut Google in der freien Wildbahn zu finden.
Der Hinweis: 2622660 – Security updates for the browser control Google Chromium delivered with SAP Business Client
Unterlagen und Links
- SAP Knowledge Base – SAP Security Patch Day – March 2024
- AK Security & Vulnerability Management AK
- AS ABAP und AS JAVA | SAP Security Patchday Februar 2024
Demnächst…
Expertenforum in Heidelberg: SAP Audit Findings loswerden am 20.03.2024
So werden Sie SAP Audit Findings (oder den Prüfer) los: Egal, ob der Prüfbericht schon vorliegt oder noch kommt, wohl kein SAP-System der Welt kommt ohne Feststellungen durch eine Prüfung. Erfahren Sie deshalb, wie Sie effektiv mit Herausforderungen in Audits umgehen, sich optimal darauf vorbereiten und Feststellungen praktisch loswerden können. Entdecken Sie die Tipps unserer Experten und tauschen Sie sich in ungezwungener Atmosphäre und bei gutem Essen mit SAP Security Verantwortlichen & Mitarbeitenden anderer Unternehmen aus.
Mehr erfahren und anmelden
Webinar IT-Sicherheitsgesetz 2.0 umsetzen am 04.04.2024
Das IT-Sicherheitsgesetz 2.0 ist in Kraft, und die Zeit für Unternehmen, die erforderlichen Sicherheitsmaßnahmen zu ergreifen, drängt. In unserem Webinar vermitteln wir Ihnen nicht nur das notwendige Wissen über das Gesetz, sondern geben Ihnen auch konkrete Handlungsanweisungen, um Ihr Unternehmen rechtskonform zu machen.
Mehr erfahren und anmelden