Business One: Freigabe für alle | SAP Security Patchday November 2023
Autor: Tobias Harmes | 15. November 2023
Der SAP Security Patchday November war am 14.11.2023. Wie jeden Monat am zweiten Dienstag gibt es frische SAP-Security-Hinweise, diesmal allerdings nur drei neue Security Notes und drei Updates zu vorhergehenden Patchdays. Relevant ist eigentlich nur der für SAP Business One.
Es gibt nur zwei Hinweise der Priorität „Hot News“, also Sicherheitslücken mit einem Risiko-Score CVSS >9.0, davon ein Update. Ich empfehle trotzdem (wie immer) ein Durchschauen des offiziellen PDFs um herauszufinden, ob es relevante Hinweise für die eigene SAP-Landschaft gibt. Alternativ bekommt man auch eine Hinweis-Übersicht über das SAP-Support-Portal mit dem Expert-Filter oben „Patch-Tag (Patch Day)“ zusammen mit „Freigegeben am“.
SAP Business One gibt Ordner für alle frei
Im Rahmen der Installation gibt SAP Business One Ordner für den anonymen Schreib-Lese-Zugriff per SMB-Protokoll frei. Das könnte von Angreifern genutzt werden, um Dateien zu manipulieren oder Schadcode einzuschleusen. Die Lücke hat einen CVSS-Score von 9.6/10.
Mit dem Patch werden die SMB-Freigaberechte auf authentisierte und berechtigte Benutzer eingeschränkt. Details dazu im Hinweis 3355658 – [CVE-2023-31403] Improper Access Control vulnerability in SAP Business One product installation.
Mini-Update CommonCryptoLib
Bereits im September wurde bekannt, dass die SAP CommonCryptoLib ein Sicherheitsproblem hat, durch den Angreifer sich höhere Rechte erschleichen können. Die SAP CommonCryptoLib ist die zentrale Komponente für Themen wie die Verbindungs-Verschlüsselung und Zertifikate. Jetzt gab es ein Mini-Update in der Lösungsbeschreibung, relevant für bestimmte HANA-DB-Versionen. Ich verlinke hier den Diff: 3340576 – [CVE-2023-40309] Missing Authorization check in SAP CommonCryptoLib. CVSS-Score ist weiterhin 9.8/10.
Unterlagen und Links
- Offizielle Übersicht SAP Patchday (PDF)
- AK Security & Vulnerability Management AK
- Online-Session „Diskussion zu ausgewählten SAP Security Notes ab 23.11.2023
- Security Notes Webinar auf help.sap.com (ehemals SAP Security-Wiki)
- Nachgeholtes Sommerloch | SAP Security Patchday Oktober 2023
Demnächst…
30.11.2023 um 10 Uhr | Wie finde ich heraus, ob mein SAP-System sicher ist?
Ist Ihr SAP-System sicher? Entdecken Sie in unserem Webinar effektive Prüfmethoden und Werkzeuge, die Sicherheitslücken schließen. Zur Anmeldung
05.12.2023 um 10 Uhr | Auf dem aktuellen Stand: Neue Anforderungen der ISO 27001
Unser Webinar bietet Ihnen einen fundierten Überblick über die aktuellen Anforderungen der ISO 27001. Erfahren Sie, wie Sie Ihr Informationssicherheitsmanagementsystem (ISMS) wirksam anpassen und Ihre Risikomanagementprozesse optimieren können. Zur Anmeldung