SAP 3D Visual Enterprise, BO/BI-Super-Patch | SAP Security Patchday Mai 2023

Autor: Tobias Harmes | 9. Mai 2023

9

Der SAP Security Patchday für den Mai war diesmal der 09.05.2023. Wie jeden zweiten Dienstag im Monat gab es neue Security-Hinweise, diesmal 18 neue Security Notes und sechs Updates zu Patchdays vergangener Monate. Business Objects bekommt den Patch der Patche und wer SAP 3D Visual Enterprise lizensiert, sollte den Hinweis prüfen.

Der Mai ist im Gegensatz zum April-Patchday relativ ruhig. SAP und andere Security Researcher haben zwar von der Anzahl mehr gemeldet, aber insgesamt weniger kritisch. Ich empfehle (wie immer) ein Durchschauen des offiziellen PDFs um herauszufinden, ob es relevante Hinweise für die eigene SAP-Landschaft gibt. Alternativ bekommt man auch eine Hinweis-Übersicht über das SAP-Support-Portal mit dem Expert-Filter oben „Patch-Tag (Patch Day)“ zusammen mit „Freigegeben am“.

Randnotiz: Nicht erschrecken, ich habe hier schon überall SAP for Me-Links eingebaut, an vielen Stellen ist jetzt schon die Umleitung von support.sap.com auf me.sap.com aktiv. SAP stellt gerade alle Support-Nutzer um.

Lücken in Reprise License Manager treffen SAP 3D Visual Enterprise License Manager

Wer seine SAP 3D Visual Enterprise Lizenzen mit dem entsprechenden License Manager verwaltet, könnte von Schwachstellen im Webinterface der dort verwendeten Reprise License Manager Komponenten betroffen sein. Der CVSS-Score ist immerhin 9.8/10. Die Lösung ist ein Update, als Workaround kann das Webinterface deaktiviert werden. Details im Hinweis 3328495 – Multiple vulnerabilities associated with Reprise License Manager 14.2 component used with SAP 3D Visual Enterprise License Manager

Super-Patch für Business Objects BI Platform Server

Die neueste Lücke CVE-2023-28762 mit CVSS 9.1/10 für die SAP BusinessObjects Business Intelligence Platform erlaubt es angemeldeten Angreifern mit Administratorrechten unter fremde User-ID zu agieren. Außerdem kann das System teilweise oder komplett lahmgelegt werden.

Der neue Hinweis tritt auch an die Stelle diverser älterer Security-Hinweise (unter anderem 3213507 aus August 2022) , die mittlerweile auf den gemeinsamen Hinweis verlinken, der auch die zur Aktualisierung notwendigen Support Packages verlinkt: 3307833 – [CVE-2023-28762] Information disclosure vulnerabilities in SAP BusinessObjects Business Intelligence Platform

Nicht Hot genug

Nur Honorable Mentions, weil unter CVSS-Score 9.0/10 geblieben für:

SAP AS NetWeaver JAVA erlaubt es Angreifenden, Daten ohne Authentifizierung auszulesen. CVSS-Score 8.2/10. Abhilfe schaffen Support Packages für den Server-Core. Detaillierte Infos im Hinweis 3317453 – [CVE-2023-30744] Falsche Zugriffskontrolle beim Anwendungsstart in SAP AS NetWeaver JAVA

SAP Integrated Business Planning (SAP IBP) bietet auch ein Excel-Add-In. Dessen Installer kann von Angreifern dazu missbraucht werden, bei der Installation zusätzliche Software (z.B. Malware) unterzuschmuggeln. Angriffsfläche bietet wohl nur der Installer, wer die Software bereits installiert hat, ist wohl erst einmal safe. CVSS-Score ist 8.2/10 und Lösung gibt es per Software-Update, Details im Hinweis 3323415 – [CVE-2023-29080] Privilege escalation vulnerability in SAP IBP, add-in for Microsoft Excel

Demnächst…

Am 16.05.2023 hält meine Kollege Luca Cremer ein Webinar zum Thema SAP Cloud Security. Hier können Sie sich anmelden: Webinar SAP Cloud Security und Identity Management. Weitere Webinare finden Sie hier


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Tobias Harmes

Autor

Tobias Harmes

Experte, Speaker, Herausgeber rz10.de

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice