Business Objects Workaround | SAP Security Patchday September 2024
Autor: Tobias Harmes | 10. September 2024
Der September-SAP Security Patchday war am 10.09.2024. Wie jeden zweiten Dienstag im Monat gibt es am Patchday frische SAP Security-Hinweise. Diesmal kommen 16 neue Hinweise und drei Updates, aber ganz oben steht nur ein Update für die im August gemeldete Lücke für SAP Business Objects.
Im September gibt es nur einen Hinweis mit der Einstufung „Hot News“ für Sicherheitslücken mit einem Risiko-Score CVSS >9.0, und das ist nur ein Update. Auf der Support-Seite von SAP kann man die aktuellen Security Patch Day Details finden.
Hier ist ein anderer einfacher Weg zu den aktuellen Security Notes vom Patchday:
- https://me.sap.com/app/securitynotes aufrufen (S-User erforderlich)
- Optional: den CVSS-Score auf 8-10 einstellen, je nach Schutzbedarf
- Spalte „Freigegeben am“ finden und dort alle Einträge seit dem letzten Patchday studieren – die Filterung auf den aktuellen Monat lässt leider Updates aus, die zwischen den Patchdays veröffentlicht worden sind. (Danke an Jan für diesen Hinweis!)
SAP BusinessObjects BI Platform – Workaround für offenes Tor beim Single Sign On
Schon im August wurde für die SAP BusinessObjects Business Intelligence Platform eine mit CVSS-Score 9.8/10 bewertete Sicherheitslücke gemeldet. Diese ist relevant, wenn die “Single Sign-On”-Funktion aktiviert ist. Ein nicht autorisierter Benutzer kann das gesamte System kompromittieren und vertrauliche Informationen einsehen, verändern oder das System lahmlegen.
Mit dem Update gibt es jetzt auch einen Workaround, den es vorher nicht gab. Mit diesem kann man das Update herauszögern, allerdings funktionieren dann bestimmte Workflows nicht mehr. Empfohlen wird weiterhin das Update. Details dazu im Hinweis 3479478 – [CVE-2024-41730] Missing Authentication check in SAP BusinessObjects Business Intelligence Platform
Unterlagen und Links
Das war es schon. Wie immer schaue ich hier nur auf das, was die Schwelle von CVSS-Score 8.0 überschreitet. Bitte schaut selbst nach, ob für eure Systemumgebung und eurem Schutzbedarf nicht vielleicht doch etwas dabei ist.
- Alle Hinweise aus diesem Patchday: SAP Security Patch Day – September 2024
- AK Security & Vulnerability Management AK
- Online-Session “Diskussion zu ausgewählten SAP Security Notes ab 19.09.2024
- Security Notes Webinar auf help.sap.com
- Business Objects & SAP Build Apps | SAP Security Patchday August 2024
Demnächst…
Webinar: Systeme zur Angriffserkennung: Was Prüfer fordern und was Sinn ergibt am 19.09.2024
Erfahren Sie, wie Systeme zur Angriffserkennung nicht nur den regulatorischen Anforderungen genügen, sondern auch praktischen Mehrwert für Ihre IT-Sicherheit & SAP Security bieten. In unserem Vortrag diskutieren wir, welche Kriterien Prüfer setzen und welche Maßnahmen tatsächlich zur Stärkung Ihrer Unternehmensabwehr beitragen.
Mehr erfahren
Expertenforum in Heidelberg: Sichere und kosteneffiziente Benutzer & Berechtigungen unter S/4HANA am 26.11.2024
So optimieren Sie Ihre Berechtigungen für S/4HANA und vermeiden kostspielige Fehler: Egal, ob Sie sich vor, mitten in der Migration befinden oder diese bereits abgeschlossen haben, Berechtigungen sind ein zentraler Aspekt jedes S/4HANA-Systems. Erfahren Sie deshalb, wie Sie effektiv mit den Herausforderungen der Berechtigungsverwaltung umgehen, wie Sie sich von Automatisierungslösungen unterstützen lassen können und wie Sie kostspielige Lizenzfallen vermeiden. Entdecken Sie die Tipps unserer Experten und tauschen Sie sich in ungezwungener Atmosphäre und bei gutem Essen mit SAP-Berechtigungsverantwortlichen & Mitarbeitenden anderer Unternehmen aus. Die Veranstaltung ist für Sie kostenlos.
Mehr erfahren
