SAP Enterprise Project Connection | SAP Security Patchday Oktober 2024

Im Oktober gibt es erneut nur einen Hinweis mit der Einstufung „Hot News“ für Sicherheitslücken mit einem Risiko-Score CVSS >9.0, und das ist nur ein Update. Auf der Support-Seite von SAP kann man die aktuellen Security Patch Day Details finden.

Hier ist ein anderer einfacher Weg zu den aktuellen Security Notes vom Patchday:

1. https://me.sap.com/app/securitynotes aufrufen (S-User erforderlich)
2. Optional: den CVSS-Score auf 8-10 einstellen, je nach Schutzbedarf
3. Spalte „Freigegeben am“ finden und dort alle Einträge seit dem letzten Patchday studieren – die Filterung auf den aktuellen Monat lässt leider Updates aus, die zwischen den Patchdays veröffentlicht worden sind. (Danke an Jan für diesen Hinweis!)

SAP BusinessObjects BI Platform – Info-Update des Updates

Schon im August wurde für die SAP BusinessObjects Business Intelligence Platform eine mit CVSS-Score 9.8/10 bewertete Sicherheitslücke gemeldet. Diese ist relevant, wenn die “Single Sign-On”-Funktion aktiviert ist. Ein nicht autorisierter Benutzer kann das gesamte System kompromittieren und vertrauliche Informationen einsehen, verändern oder das System lahmlegen.

Im September gab es dann ein Update mit einem Workaround. Das aktuelle Update korrigiert nur ein Detail in der Beschreibung, für Server-Version 4.2 wurde das Update bereits mit Support Package SP009 ausgeliefert.

Details dazu im Diff für den Hinweis: Changes – 3479478 – [CVE-2024-41730] Missing Authentication check in SAP BusinessObjects Business Intelligence Platform

Mehrere Schwachstellen in SAP Enterprise Project Connection

In dem eigentlich für 2024 abgekündigten, aber bis 2025 noch mal verlängerten SAP Enterprise Project Connection 3.0 steckt eine Sicherheitslücke mit CVE Score 8.0/10.

Ursache sind bekannte Sicherheitslücken in den Versionen der verwendeten Java-Bestandteile Spring Framework und Log4j. Bezüglich Auswirkung wird auf die CVE-Nummern der verwendeten Softwarekomponenten verwiesen. Das ist etwas eigentümlich, weil hier nicht mal die konkreten möglichen Auswirkungen in den Hinweis aufgenommen worden sind. So stehen jetzt ernsthafte Dinge wie Server-Side Request Forgery (SSRF) und Remote Execution á la Log4j Remote Shell im Raum.

Wie auch immer – die Lösung ist ein Support Package, dass die Softwarekomponenten aktualisiert. Details im Hinweis 3523541 – [CVE-2022-23302] Multiple vulnerabilities in SAP Enterprise Project Connection.

Unterlagen und Links

Das war es schon. Wie immer schaue ich hier nur auf das, was die Schwelle von CVSS-Score 8.0 überschreitet. Bitte schaut selbst nach, ob für eure Systemumgebung und euren Schutzbedarf nicht vielleicht doch etwas dabei ist.

• Alle Hinweise aus diesem Patchday: SAP Security Patch Day – Oktober 2024
• AK Security & Vulnerability Management AK
  • Online-Session: “Diskussion zu ausgewählten SAP Security Notes” (Live vom Jahreskongress) ab 16.10.2024
  • Security Notes Webinar auf help.sap.com
  • Business Objects Workaround | SAP Security Patchday September 2024

Demnächst…

Expertenforum in Heidelberg: Sichere und kosteneffiziente Benutzer & Berechtigungen unter S/4HANA am 26.11.2024
So optimieren Sie Ihre Berechtigungen für S/4HANA und vermeiden kostspielige Fehler: Egal, ob Sie sich vor, mitten in der Migration befinden oder diese bereits abgeschlossen haben, Berechtigungen sind ein zentraler Aspekt jedes S/4HANA-Systems. Erfahren Sie deshalb, wie Sie effektiv mit den Herausforderungen der Berechtigungsverwaltung umgehen und wie Sie kostspielige Lizenzfallen vermeiden. Tauschen Sie sich in ungezwungener Atmosphäre und bei gutem Essen mit SAP-Berechtigungsverantwortlichen & Mitarbeitenden anderer Unternehmen aus. Die Veranstaltung ist für Sie kostenlos.
Mehr erfahren

SAP in der Cloud erfolgreich absichern: Von der Security-Architektur bis zum Pentest am 05.12.2024
Erfahren Sie, warum hybride SAP-Landschaften zunehmend angegriffen werden und wie regelmäßige Pentests helfen, Sicherheitslücken frühzeitig zu erkennen. Unsere Experten zeigen praxisnah, wie Sie Schwachstellen in der Cloud und bei APIs identifizieren und beheben. Entdecken Sie die wichtigsten Angriffsvektoren und schützen Sie Ihre SAP-Umgebung effektiv.
Mehr erfahren

Von Anfang an richtig: SAP Berechtigungen nach S/4HANA migrieren am 10.12.2024
Entdecken Sie im Webinar, was Sie für eine reibungslose Migration der SAP Berechtigungen nach S/4HANA benötigen. Erfahren Sie, wie Sie Ihre Berechtigungsstrukturen effektiv planen, optimieren und an die neuen Anforderungen von S/4HANA anpassen können.
Mehr erfahren