Für alle: Crypto-Lib patchen | SAP Security Patchday September 2023
Autor: Tobias Harmes | 12. September 2023
Der SAP Security Patchday für den September war am 12.09.2023. Monatlich am zweiten Dienstag gibt es frische SAP Security Hinweise, diesmal 13 neue Security Notes und fünf Updates zu vorhergehenden Patchdays. Diesmal müssen alle ran: Die Verschlüsselung hat es erwischt.
Wie jeden Monat haben SAP und andere Security Researcher wieder das eine oder andere gemeldet. Ich empfehle (wie immer) ein Durchschauen des offiziellen PDFs um herauszufinden, ob es relevante Hinweise für die eigene SAP-Landschaft gibt. Dort sind mittlerweile auch die direkten me.sap.com-Links enthalten. Alternativ bekommt man auch eine Hinweis-Übersicht über das SAP-Support-Portal mit dem Expert-Filter oben „Patch-Tag (Patch Day)“ zusammen mit „Freigegeben am“.
SAP Crypto-Kaputt für alle NetWeaver-Komponenten
Die SAP CommonCryptoLib ist die zentrale Software für SAP Produkte zuständig für die SNC-Verschlüsselung, für Secure http, für Zertifikate – wie der Name schon sagt, einfach für alle Themen, wo es auf Vertraulichkeit und Integrität ankommt.
Die hat leider einen Fehler, Angreifer können Mängel in der Authentisierung ausnutzen, um sich höhere Rechte zu erschleichen, um damit das System zu manipulieren und an Informationen zu gelangen. CVSS-Score ist deshalb auch 9.8/10.
Für viele NetWeaver-Systeme kommt das notwendige Update mit einem neuen Kernel oder wenn das nicht kurzfristig geht per Hotfix. Allerdings müssen auch Systeme wie Web Dispatcher, Host Agents, Content Server, SAP Hana Datenbanken plus XSA gepatcht werden. In dem Hinweis ist die ganze Liste inkl. Link auf ein FAQ enthalten: 3340576 – [CVE-2023-40309] Missing Authorization check in SAP CommonCryptoLib
Zugang zu Business Objects über Promotion Management
SAP BusinessObjects Business Intelligence Platform (Promotion Management) können authentifizierte Angreifer unter Umständen mehr sehen als erwünscht, was wiederum dazu genutzt werden kann die Anwendung vollständig zu kompromittieren. CVSS-Score ist daher 9.9/10. Der Workaround beschreibt das temporäre Entziehen von bestimmten Rechten, aber die eigentliche Lösung ist ein Patch. Details dazu in Hinweis 3320355 – [CVE-2023-40622] Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (Promotion Management).
Updates
Praktisch jeden Monat gibt es auch Updates alter Hinweise, die jedoch trotzdem mit dem CVSS-Score von damals neu veröffentlicht werden.
Chromium Update für den Business Client
Es gibt neue Sicherheitslücken im Chromium Browser-Engine, und das wiederum betrifft den SAP Business Client. Allerdings ist diesmal auch ein Exploit von Google für Chromium gemeldet, der tatsächlich auch in der freien Wildbahn ausgenutzt wird. Das 41. Update des Hinweises 2622660 – Security updates for the browser control Google Chromium delivered with SAP Business Client – ein Evergreen.
(K)ein Update für SAP NetWeaver AS Java
Ja, da ist wohl was schief gelaufen. Dieser Sicherheitshinweis hätte veröffentlicht bleiben sollen, und ist es jetzt auch wieder. Ansonsten keine Änderungen an 3273480 – [CVE-2022-41272] Improper access control in SAP NetWeaver AS Java (User Defined Search)
Neueste Patchlevel eingefügt in Business Objects Central Management Console Hinweis
Nur neue Patchlevel eingefügt, ansonsten nichts neues bei dem Hinweis aus März: 3245526 – [CVE-2023-25616] Code Injection vulnerability in SAP Business Objects Business Intelligence Platform (CMC)
Honorable Mentions
Welche SAP Notes haben sich eine Erwähnung verdient, auch wenn sie nicht Hot genug waren (sprich CVSS-Score > 9.0/10)?
SAP Business Objects prüft Inhalt nicht
Eigentlich eine schöne Übung für Capture the flag-Turniere: eine Datei hochladen und bei der Übertragung den Content-Type ändern. So kann man schon mal aktive Inhalte wie JavaScript als Bilddateien hochladen. Das Web Intelligence HTML interface prüft nicht ausreichend den Inhalt und meldet eine CVSS-Score von 8.7/10. Die einzige Lösung ist ein Patch: 3370490 – [CVE-2023-42472] Insufficient File type validation in SAP BusinessObjects Business Intelligence Platform (Web Intelligence HTML interface)
Unterlagen und Links
- Offizielle Übersicht SAP Patchday (PDF)
- AK Security & Vulnerability Management AK
- Online-Session “Diskussion zu ausgewählten SAP Security Notes ab 28.09.2023
- Security Notes Webinar auf help.sap.com (ehemals SAP Security-Wiki)
- IS-OIL und PowerDesigner | SAP Security Patchday August 2023
Demnächst…
S/4HANA-Migration, Cybersecurity-Risiken und IT-Fachkräftemangel sind nur einige aktuelle Herausforderungen in der SAP Welt. Wir wollen Ihnen bei unserem Event „SAP IT: Tech, Talk & Lunch” am 27.09.2023 in Köln in spannenden Vorträgen Lösungsperspektiven und Chancen aufzeigen. Sie können sich dabei mit anderen SAP Anwendern und IT’lern austauschen und von den Erfahrungen anderer profitieren. Jetzt anmelden