SAP Enterprise Project Connection | SAP Security Patchday Oktober 2024
Autor: Tobias Harmes | 8. Oktober 2024
Der SAP Security Patchday im Oktober war am 08.10.2024. Wie jeden zweiten Dienstag im Monat gibt es am Patchday frische SAP Security Hinweise. Diesmal kommen nur sechs neue Hinweise und sechs Updates. Während der Hinweis für Business Objects erneut ein (Info-)Update bekommt, leidet SAP Enterprise Project Connections unter 3rd-Party-Softwarelücken.
Im Oktober gibt es erneut nur einen Hinweis mit der Einstufung „Hot News“ für Sicherheitslücken mit einem Risiko-Score CVSS >9.0, und das ist nur ein Update. Auf der Support-Seite von SAP kann man die aktuellen Security Patch Day Details finden.
Hier ist ein anderer einfacher Weg zu den aktuellen Security Notes vom Patchday:
- https://me.sap.com/app/securitynotes aufrufen (S-User erforderlich)
- Optional: den CVSS-Score auf 8-10 einstellen, je nach Schutzbedarf
- Spalte „Freigegeben am“ finden und dort alle Einträge seit dem letzten Patchday studieren – die Filterung auf den aktuellen Monat lässt leider Updates aus, die zwischen den Patchdays veröffentlicht worden sind. (Danke an Jan für diesen Hinweis!)
SAP BusinessObjects BI Platform – Info-Update des Updates
Schon im August wurde für die SAP BusinessObjects Business Intelligence Platform eine mit CVSS-Score 9.8/10 bewertete Sicherheitslücke gemeldet. Diese ist relevant, wenn die „Single Sign-On“-Funktion aktiviert ist. Ein nicht autorisierter Benutzer kann das gesamte System kompromittieren und vertrauliche Informationen einsehen, verändern oder das System lahmlegen.
Im September gab es dann ein Update mit einem Workaround. Das aktuelle Update korrigiert nur ein Detail in der Beschreibung, für Server-Version 4.2 wurde das Update bereits mit Support Package SP009 ausgeliefert.
Details dazu im Diff für den Hinweis: Changes – 3479478 – [CVE-2024-41730] Missing Authentication check in SAP BusinessObjects Business Intelligence Platform
Mehrere Schwachstellen in SAP Enterprise Project Connection
In dem eigentlich für 2024 abgekündigten, aber bis 2025 noch mal verlängerten SAP Enterprise Project Connection 3.0 steckt eine Sicherheitslücke mit CVE Score 8.0/10.
Ursache sind bekannte Sicherheitslücken in den Versionen der verwendeten Java-Bestandteile Spring Framework und Log4j. Bezüglich Auswirkung wird auf die CVE-Nummern der verwendeten Softwarekomponenten verwiesen. Das ist etwas eigentümlich, weil hier nicht mal die konkreten möglichen Auswirkungen in den Hinweis aufgenommen worden sind. So stehen jetzt ernsthafte Dinge wie Server-Side Request Forgery (SSRF) und Remote Execution á la Log4j Remote Shell im Raum.
Wie auch immer – die Lösung ist ein Support Package, dass die Softwarekomponenten aktualisiert. Details im Hinweis 3523541 – [CVE-2022-23302] Multiple vulnerabilities in SAP Enterprise Project Connection.
Unterlagen und Links
Das war es schon. Wie immer schaue ich hier nur auf das, was die Schwelle von CVSS-Score 8.0 überschreitet. Bitte schaut selbst nach, ob für eure Systemumgebung und euren Schutzbedarf nicht vielleicht doch etwas dabei ist.
- Alle Hinweise aus diesem Patchday: SAP Security Patch Day – Oktober 2024
- AK Security & Vulnerability Management AK
Demnächst…
Expertenforum in Heidelberg: Sichere und kosteneffiziente Benutzer & Berechtigungen unter S/4HANA am 26.11.2024
So optimieren Sie Ihre Berechtigungen für S/4HANA und vermeiden kostspielige Fehler: Egal, ob Sie sich vor, mitten in der Migration befinden oder diese bereits abgeschlossen haben, Berechtigungen sind ein zentraler Aspekt jedes S/4HANA-Systems. Erfahren Sie deshalb, wie Sie effektiv mit den Herausforderungen der Berechtigungsverwaltung umgehen und wie Sie kostspielige Lizenzfallen vermeiden. Tauschen Sie sich in ungezwungener Atmosphäre und bei gutem Essen mit SAP-Berechtigungsverantwortlichen & Mitarbeitenden anderer Unternehmen aus. Die Veranstaltung ist für Sie kostenlos.
Mehr erfahren
SAP in der Cloud erfolgreich absichern: Von der Security-Architektur bis zum Pentest am 05.12.2024
Erfahren Sie, warum hybride SAP-Landschaften zunehmend angegriffen werden und wie regelmäßige Pentests helfen, Sicherheitslücken frühzeitig zu erkennen. Unsere Experten zeigen praxisnah, wie Sie Schwachstellen in der Cloud und bei APIs identifizieren und beheben. Entdecken Sie die wichtigsten Angriffsvektoren und schützen Sie Ihre SAP-Umgebung effektiv.
Mehr erfahren
Von Anfang an richtig: SAP Berechtigungen nach S/4HANA migrieren am 10.12.2024
Entdecken Sie im Webinar, was Sie für eine reibungslose Migration der SAP Berechtigungen nach S/4HANA benötigen. Erfahren Sie, wie Sie Ihre Berechtigungsstrukturen effektiv planen, optimieren und an die neuen Anforderungen von S/4HANA anpassen können.
Mehr erfahren