Sommerloch | SAP Security Patchday August 2022

Autor: Tobias Harmes | 11. August 2022

Am 09.08.2022 war wieder wie jeden zweiten Dienstag im Monat der SAP Security Patchday. Es gab diesmal fünf neue Security-Hinweise und zusätzlich zwei Updates von zuvor veröffentlichten Hinweisen. Es gibt nur einen Hinweis mit der höchsten Priority-Einstufung Hot News: Der Dauergast Chromium - bevorzugter Browser-Engine vom SAP Business Client.

Kleiner Hinweis: Diesmal reiche ich auch noch die Priority-High-Hinweise mit einem Score über 8/10 aus dem Juli mit, denn im letzten Monat gab es erfreulicherweise gar keine Hot News. Dafür aber einen Out-of-Band Release nach dem offiziellen Termin am 12.07.2022.

Ich empfehle wie immer ein kurzes Überfliegen des offiziellen PDFs.

SAP Business Client Update, die 33.

Die höchste Einstufung „Very High“ mit einem CVSS von 10/10 hat der Hinweis 2622660 – Security updates for the browser control Google Chromium delivered with SAP Business Client. Die 33. Aktualisierung seit 2018. Google hat keine genauen Details zu dem Update herausgebracht, aber es soll öffentlich verfügbare Exploits geben, die mit dem Update verhindert werden können.

SAP BusinessObjects Open Document einsehbar

SAP BusinessObjects Business Intelligence Platform (Open Document) erlaubt nicht authentifizierten Angreifern Einblick in die Daten, die auch normalen Fachanwendern zur Verfügung stehen. Das Update für die Lücke mit dem Score 8.2/10 steht im Hinweis 3210823 – [CVE-2022-32245] Information disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (Open Document) zur Verfügung.

SAP SuccessFactors Mobile: Dateianhänge im Admin-Mode

Ein seltener Out-of-Band Release: am 26.07.2022 erschien mit einem Score von 8.1/10 eine Security Note für die SuccessFactors Attachment API. Normale User können über die API Zugriffe machen, die eigentlich nur Admins vorbehalten sind. Das betrifft zum Beispiel Abwesenheit, Zeiterfassung und Workflows. Im Hinweis 3226411 – [CVE-2022-35291] Privilege escalation vulnerability in SAP SuccessFactors attachment API for Mobile Application(Android & iOS) wird auch ein Workaround angeboten, der erstmal den Zugriff auf die API lahmlegt. Die Lösung ist auf die entsprechenden neuen iOS und Android-Apps zu aktualisieren. In der Zwischenzeit sollen Anwender über die normale WebUI Anhänge nutzen.

SAP BusinessObjects Central Management Console

Noch aus dem Patchday vom 12. Juli 2022: Der SAP BusinessObjects CMC kann durch unauthentifizierte Angreifer ein Zugriffstoken entlockt werden, sofern man vorher eine normale Usersession kompromittieren konnte. Der Hinweis mit einem Score von 8.3/10 ist verfügbar unter 3221288 – [CVE-2022-35228] Information disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (Central management console).

Demnächst…

Wir berichten regelmäßig über SAP Sicherheit aus der Praxis. Die nächsten Webinare sind:

Die nächsten Events unter https://rz10.de/events/


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Tobias Harmes

Autor

Tobias Harmes

Experte, Speaker, Herausgeber rz10.de

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice