Business One: Freigabe für alle | SAP Security Patchday November 2023

Autor: Tobias Harmes | 15. November 2023

8
Security Patchday

Der SAP Security Patchday November war am 14.11.2023. Wie jeden Monat am zweiten Dienstag gibt es frische SAP-Security-Hinweise, diesmal allerdings nur drei neue Security Notes und drei Updates zu vorhergehenden Patchdays. Relevant ist eigentlich nur der für SAP Business One.

Es gibt nur zwei Hinweise der Priorität „Hot News“, also Sicherheitslücken mit einem Risiko-Score CVSS >9.0, davon ein Update. Ich empfehle trotzdem (wie immer) ein Durchschauen des offiziellen PDFs um herauszufinden, ob es relevante Hinweise für die eigene SAP-Landschaft gibt. Alternativ bekommt man auch eine Hinweis-Übersicht über das SAP-Support-Portal mit dem Expert-Filter oben „Patch-Tag (Patch Day)“ zusammen mit „Freigegeben am“.

SAP Business One gibt Ordner für alle frei

Im Rahmen der Installation gibt SAP Business One Ordner für den anonymen Schreib-Lese-Zugriff per SMB-Protokoll frei. Das könnte von Angreifern genutzt werden, um Dateien zu manipulieren oder Schadcode einzuschleusen. Die Lücke hat einen CVSS-Score von 9.6/10.

Mit dem Patch werden die SMB-Freigaberechte auf authentisierte und berechtigte Benutzer eingeschränkt. Details dazu im Hinweis 3355658 – [CVE-2023-31403] Improper Access Control vulnerability in SAP Business One product installation.

Mini-Update CommonCryptoLib

Bereits im September wurde bekannt, dass die SAP CommonCryptoLib ein Sicherheitsproblem hat, durch den Angreifer sich höhere Rechte erschleichen können. Die SAP CommonCryptoLib ist die zentrale Komponente für Themen wie die Verbindungs-Verschlüsselung und Zertifikate. Jetzt gab es ein Mini-Update in der Lösungsbeschreibung, relevant für bestimmte HANA-DB-Versionen. Ich verlinke hier den Diff: 3340576 – [CVE-2023-40309] Missing Authorization check in SAP CommonCryptoLib. CVSS-Score ist weiterhin 9.8/10.

Demnächst…

30.11.2023 um 10 Uhr | Wie finde ich heraus, ob mein SAP-System sicher ist?
Ist Ihr SAP-System sicher? Entdecken Sie in unserem Webinar effektive Prüfmethoden und Werkzeuge, die Sicherheitslücken schließen. Zur Anmeldung

05.12.2023 um 10 Uhr | Auf dem aktuellen Stand: Neue Anforderungen der ISO 27001
Unser Webinar bietet Ihnen einen fundierten Überblick über die aktuellen Anforderungen der ISO 27001. Erfahren Sie, wie Sie Ihr Informationssicherheitsmanagementsystem (ISMS) wirksam anpassen und Ihre Risikomanagementprozesse optimieren können. Zur Anmeldung


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Tobias Harmes

Autor

Tobias Harmes

Experte, Speaker, Herausgeber rz10.de

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice