Schadcode hochladen in AS ABAP | SAP Security Patchday Mai 2024
Autor: Tobias Harmes | 14. Mai 2024
Der Mai-SAP Security Patchday war am 14.05.2024. Wie jeden zweiten Dienstag im Monat gibt es am Patchday neue SAP Security-Hinweise. Im Gegensatz zum ruhigen April gab es dieses Mal 14 neue und drei aktualisierte Security Notes. Angreifbar sind unter anderem alle bisherigen NetWeaver AS ABAP Versionen und die SAP Commerce Cloud.
Nachdem der April keinen Hinweis des Schweregrads „Hot News“ hatte, schaffen das im Mai drei Security Notes. Die Einstufung Hot News erhalten Hinweise für Sicherheitslücken mit einem Risiko-Score CVSS >9.0. Auf der Support-Seite von SAP kann man die aktuellen Security Patch Day Details finden.
Hier ist ein anderer einfacher Weg zu den aktuellen Security Notes vom Patchday:
- https://me.sap.com/app/securitynotes aufrufen (S-User erforderlich)
- Filter „Freigegeben am“ auswählen und dort den aktuellen Monat wählen
- Optional: den CVSS-Score auf 8-10 einstellen, je nach Schutzbedarf
SAP CX Commerce mit CSS Injection- und Remote Code Execution-Schwachstellen
Ein Update für die SAP Commerce Cloud behebt mehrere Sicherheitslücken, die bei darin genutzten Frameworks bekannt geworden sind. Die CVSS-Scores sind 9.8/10 für die CSS Injection Schwachstelle bei der Swagger UI und 8.8/10 für die Remote Code Execution Schwachstelle bei Apache Calcite Avatica.
Abhilfe schafft der Patch, der im Hinweis verlinkt ist, einen Workaround gibt es nicht. Hinweis: 3455438 – [CVE-2019-17495] Multiple vulnerabilities in SAP CX Commerce
Schadcode hochladen für alle in NetWeaver AS ABAP
Nicht authentifizierte Angreifer können in allen bisherigen NetWeaver-Versionen Dateien ins Content Management System hochladen und dabei einer Malware-Prüfung beim Upload umgehen. Dadurch könnte das System sowie weitere Systeme der Anwender beim Öffnen von Schadcode kompromittiert werden. Das gibt einen CVSS-Score von 9.6/10.
Ich finde den Hinweis etwas missverständlich. Durch das Einspielen des Hinweises soll es eine sichere Default-Einstellung geben. Laut dem Hinweis gilt das nicht für bestehende Installationen. Nach meinem Verständnis muss also sowohl der Patch eingespielt werden, als auch der Workaround für bestehende Installationen geprüft bzw. durchgeführt werden. 3448171 – [CVE-2024-33006] File upload vulnerability in SAP NetWeaver Application Server ABAP and ABAP Platform
Update zu Chromium im Business Client
Relevant für alle, die den Business Client mit Chromium-Engine im Einsatz haben: SAP vergibt hier historisch immer das CVSS-Rating 10/10. Allerdings gab es in den Google Changelogs kein CVSS-Rating, darum ist keine Einschätzung möglich, wie sicherheitsrelevant das Update wirklich ist. Beim letzten Update im März war noch ein Rating von 9.8/10 genannt worden.
Cross-Site Scripting Schwachstelle bei SAP BusinessObjects
Mit einem CVSS-Score von 8.1/10 wurde die XSS-Lücke in BusinessObjects gemeldet. Dort wurden Eingabeparameter nicht ausreichend entwertet, was zum Verlust von Vertraulichkeit und Integrität der Anwendung führen kann.
Die Lösung ist ein Patch, einen Workaround gibt es nicht. Details im Hinweis 3431794 – [CVE-2024-28165] Cross site scripting vulnerability in SAP BusinessObjects Business Intelligence Platform – SAP for Me
Unterlagen und Links
Wie immer schaue ich hier nur auf das, was die Schwelle von CVSS-Score 8.0 überschreitet. Bitte schaut selbst nach, ob für eure Systemumgebung und eurem Schutzbedarf nicht vielleicht doch etwas dabei ist.
- Alle Hinweise aus diesem Patchday: SAP Security Patch Day – May 2024
- AK Security & Vulnerability Management AK
- AS Java Usermanagement | SAP Security Patchday April 2024
Demnächst…
Expertenforum in Köln: SAP Audit Findings loswerden am 25.06.2024
So werden Sie SAP Audit Findings (oder den Prüfer) los: Egal, ob der Prüfbericht schon vorliegt oder noch kommt, wohl kein SAP-System der Welt kommt ohne Feststellungen durch eine Prüfung. Erfahren Sie deshalb, wie Sie effektiv mit Herausforderungen in Audits umgehen, wie Sie sich von Tools zur Angriffserkennung helfen lassen können und wie Sie die Prüfer glücklich machen. Entdecken Sie die Tipps unserer Experten und tauschen Sie sich in ungezwungener Atmosphäre und bei gutem Essen mit SAP Security Verantwortlichen & Mitarbeitenden anderer Unternehmen aus.
Mehr erfahren und anmelden
SAP Security Tools im Vergleich am 15.05.2024
Sie sind auf der Suche nach einem SAP Security Tool, das nicht nur Ihre Anforderungen erfüllt, sondern auch Ihre Prozesse effizienter gestaltet? Entdecken Sie mit uns die Vielfalt der SAP Security Tools und finden Sie heraus, was es bei der Tool-Auswahl zu beachten gibt. Wir zeigen Ihnen in unserem Webinar, wie Sie aus der Masse an verfügbaren Optionen das richtige Tool auswählen und was die Tools am Markt unterscheidet.
Mehr erfahren und anmelden
