SAP 3D Visual Enterprise, BO/BI-Super-Patch | SAP Security Patchday Mai 2023
Autor: Tobias Harmes | 9. Mai 2023
Der SAP Security Patchday für den Mai war diesmal der 09.05.2023. Wie jeden zweiten Dienstag im Monat gab es neue Security-Hinweise, diesmal 18 neue Security Notes und sechs Updates zu Patchdays vergangener Monate. Business Objects bekommt den Patch der Patche und wer SAP 3D Visual Enterprise lizensiert, sollte den Hinweis prüfen.
Der Mai ist im Gegensatz zum April-Patchday relativ ruhig. SAP und andere Security Researcher haben zwar von der Anzahl mehr gemeldet, aber insgesamt weniger kritisch. Ich empfehle (wie immer) ein Durchschauen des offiziellen PDFs um herauszufinden, ob es relevante Hinweise für die eigene SAP-Landschaft gibt. Alternativ bekommt man auch eine Hinweis-Übersicht über das SAP-Support-Portal mit dem Expert-Filter oben „Patch-Tag (Patch Day)“ zusammen mit „Freigegeben am“.
Randnotiz: Nicht erschrecken, ich habe hier schon überall SAP for Me-Links eingebaut, an vielen Stellen ist jetzt schon die Umleitung von support.sap.com auf me.sap.com aktiv. SAP stellt gerade alle Support-Nutzer um.
Lücken in Reprise License Manager treffen SAP 3D Visual Enterprise License Manager
Wer seine SAP 3D Visual Enterprise Lizenzen mit dem entsprechenden License Manager verwaltet, könnte von Schwachstellen im Webinterface der dort verwendeten Reprise License Manager Komponenten betroffen sein. Der CVSS-Score ist immerhin 9.8/10. Die Lösung ist ein Update, als Workaround kann das Webinterface deaktiviert werden. Details im Hinweis 3328495 – Multiple vulnerabilities associated with Reprise License Manager 14.2 component used with SAP 3D Visual Enterprise License Manager
Super-Patch für Business Objects BI Platform Server
Die neueste Lücke CVE-2023-28762 mit CVSS 9.1/10 für die SAP BusinessObjects Business Intelligence Platform erlaubt es angemeldeten Angreifern mit Administratorrechten unter fremde User-ID zu agieren. Außerdem kann das System teilweise oder komplett lahmgelegt werden.
Der neue Hinweis tritt auch an die Stelle diverser älterer Security-Hinweise (unter anderem 3213507 aus August 2022) , die mittlerweile auf den gemeinsamen Hinweis verlinken, der auch die zur Aktualisierung notwendigen Support Packages verlinkt: 3307833 – [CVE-2023-28762] Information disclosure vulnerabilities in SAP BusinessObjects Business Intelligence Platform
Nicht Hot genug
Nur Honorable Mentions, weil unter CVSS-Score 9.0/10 geblieben für:
SAP AS NetWeaver JAVA erlaubt es Angreifenden, Daten ohne Authentifizierung auszulesen. CVSS-Score 8.2/10. Abhilfe schaffen Support Packages für den Server-Core. Detaillierte Infos im Hinweis 3317453 – [CVE-2023-30744] Falsche Zugriffskontrolle beim Anwendungsstart in SAP AS NetWeaver JAVA
SAP Integrated Business Planning (SAP IBP) bietet auch ein Excel-Add-In. Dessen Installer kann von Angreifern dazu missbraucht werden, bei der Installation zusätzliche Software (z.B. Malware) unterzuschmuggeln. Angriffsfläche bietet wohl nur der Installer, wer die Software bereits installiert hat, ist wohl erst einmal safe. CVSS-Score ist 8.2/10 und Lösung gibt es per Software-Update, Details im Hinweis 3323415 – [CVE-2023-29080] Privilege escalation vulnerability in SAP IBP, add-in for Microsoft Excel
Unterlagen und Links
- Offizielle Übersicht SAP Patchday (PDF)
- AK Security & Vulnerability Management AK / Online-Session „Diskussion zu ausgewählten SAP Security Notes ab 05.2023
- Script-Ziel SAP-System, BO/BI Passwörter| SAP Security Patchday April 2023
Demnächst…
Am 16.05.2023 hält meine Kollege Luca Cremer ein Webinar zum Thema SAP Cloud Security. Hier können Sie sich anmelden: Webinar SAP Cloud Security und Identity Management. Weitere Webinare finden Sie hier