Sommerloch | SAP Security Patchday August 2022
Autor: Tobias Harmes | 11. August 2022
Am 09.08.2022 war wieder wie jeden zweiten Dienstag im Monat der SAP Security Patchday. Es gab diesmal fünf neue Security-Hinweise und zusätzlich zwei Updates von zuvor veröffentlichten Hinweisen. Es gibt nur einen Hinweis mit der höchsten Priority-Einstufung Hot News: Der Dauergast Chromium - bevorzugter Browser-Engine vom SAP Business Client.
Kleiner Hinweis: Diesmal reiche ich auch noch die Priority-High-Hinweise mit einem Score über 8/10 aus dem Juli mit, denn im letzten Monat gab es erfreulicherweise gar keine Hot News. Dafür aber einen Out-of-Band Release nach dem offiziellen Termin am 12.07.2022.
Ich empfehle wie immer ein kurzes Überfliegen des offiziellen PDFs.
SAP Business Client Update, die 33.
Die höchste Einstufung „Very High“ mit einem CVSS von 10/10 hat der Hinweis 2622660 – Security updates for the browser control Google Chromium delivered with SAP Business Client. Die 33. Aktualisierung seit 2018. Google hat keine genauen Details zu dem Update herausgebracht, aber es soll öffentlich verfügbare Exploits geben, die mit dem Update verhindert werden können.
SAP BusinessObjects Open Document einsehbar
SAP BusinessObjects Business Intelligence Platform (Open Document) erlaubt nicht authentifizierten Angreifern Einblick in die Daten, die auch normalen Fachanwendern zur Verfügung stehen. Das Update für die Lücke mit dem Score 8.2/10 steht im Hinweis 3210823 – [CVE-2022-32245] Information disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (Open Document) zur Verfügung.
SAP SuccessFactors Mobile: Dateianhänge im Admin-Mode
Ein seltener Out-of-Band Release: am 26.07.2022 erschien mit einem Score von 8.1/10 eine Security Note für die SuccessFactors Attachment API. Normale User können über die API Zugriffe machen, die eigentlich nur Admins vorbehalten sind. Das betrifft zum Beispiel Abwesenheit, Zeiterfassung und Workflows. Im Hinweis 3226411 – [CVE-2022-35291] Privilege escalation vulnerability in SAP SuccessFactors attachment API for Mobile Application(Android & iOS) wird auch ein Workaround angeboten, der erstmal den Zugriff auf die API lahmlegt. Die Lösung ist auf die entsprechenden neuen iOS und Android-Apps zu aktualisieren. In der Zwischenzeit sollen Anwender über die normale WebUI Anhänge nutzen.
SAP BusinessObjects Central Management Console
Noch aus dem Patchday vom 12. Juli 2022: Der SAP BusinessObjects CMC kann durch unauthentifizierte Angreifer ein Zugriffstoken entlockt werden, sofern man vorher eine normale Usersession kompromittieren konnte. Der Hinweis mit einem Score von 8.3/10 ist verfügbar unter 3221288 – [CVE-2022-35228] Information disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (Central management console).
Unterlagen und Links
Demnächst…
Wir berichten regelmäßig über SAP Sicherheit aus der Praxis. Die nächsten Webinare sind:
- Webinar am 23.08.2022: Fiori vs. GUI Berechtigungen
- Webinar am 20.09.2022: Informationssicherheit verbessern durch ISMS und ISO 27001
Die nächsten Events unter https://rz10.de/events/
