SAP hat die neuen monatlichen Patchday-Informationen bereit...
SAP Patchday Dezember: Zwei Hinweise mit höchster HotNews PrioritÀt!
SAP hat einen neuen HotNews-Hinweis als Sammelnotiz veröffentlicht, der auf mehrere LĂŒcken in den âSAP Business Technology Platform (BTP) Security Services Integration Librariesâ hinweist. Diese ermöglichen Angreifern die Ausweitung von Rechten.
Handeln Sie umgehend und patchen Sie Ihre Systeme!
Die wichtigsten Keyfacts zu den HotNews des Dezember SAP Patchday
Im Vergleich zu den Patchday-Veröffentlichungen im Oktober und November enthÀlt die Dezember-Version insgesamt mehr Patches mit einem höheren Schweregrad. In diesem Artikel konzentrieren wir uns auf die SAP Security Notes mit der höchsten PrioritÀt (CVSS-Scores von 9,0 bis 10,0), darunter eine neue HotNews und ein Hinweis-Update.
Privilegieneskalation in SAP Business Technology Platform (BTP) Security Services Integration Libraries
Sammelhinweis 3411067 – [CVE-2023-49583, CVE-2023-50422, CVE-2023-50423, CVE-2023-50424] hat eine CVSS-Bewertung von 9,1 und beschreibt die „Eskalation von Privilegien in SAP Business Technology Platform (BTP) Security Services Integration Libraries“.
Die Schwachstelle betrifft Bibliotheken, die fĂŒr die Integration von SAP BTP Security Services erstellt wurden, wie z.B. SAP Authorization and Trust Management Service (XSUAA) und verschiedene Identity Services. Nutzt ein Angreifer diese SicherheitslĂŒcke erfolgreich aus, kann er sich auch ohne Authentifizierung beliebige Berechtigungen innerhalb der Anwendung verschaffen. SAP hat einen Blogbeitrag veröffentlicht, in dem die Wichtigkeit der Aktualisierung der betroffenen Bibliotheken und Komponenten erlĂ€utert wird. Da es derzeit keine provisorische Lösung fĂŒr diese Schwachstelle gibt, wird die Installation der Patches dringend empfohlen.
Security Notes-Update: OS Command Injection-Schwachstelle in SAP ECC und SAP S/4HANA (IS-OIL)
Hinweis 3399691 – [CVE-2023-36922] hat ebenfalls einen CVSS-Wert von 9,1 und ist ein Update der Security Note 3350297, die ursprĂŒnglich im Juli 2023 veröffentlicht wurde. Der aktualisierte Sicherheitshinweis adressiert eine „OS Command Injection Schwachstelle in SAP ECC und SAP S/4HANA (IS-OIL)“. Aufgrund eines Programmierfehlers im Funktionsbaustein und im Report ermöglicht die Komponente IS-OIL in SAP ECC und SAP S/4HANA einem authentifizierten Angreifer, einen beliebigen Betriebssystembefehl in einen ungeschĂŒtzten Parameter in einer gemeinsamen (Standard-)Erweiterung einzufĂŒgen. Wird diese Schwachstelle erfolgreich ausgenutzt, kann der Angreifer unautorisierten Zugriff auf den Applikationsserver erlangen. Systemdaten können gelesen oder verĂ€ndern und das System vollstĂ€ndig heruntergefahren werden.
Der zuvor im HotNews-Hinweis 3350297 bereitgestellte Patch war fĂŒr die Komponente IS-OIL-DS-HPM unvollstĂ€ndig. Als Lösung hat SAP die Option „Test Selected Routines“ aus dem Report ROIB_QCI_CALL_TEST entfernt. Ebenso ist die direkte AusfĂŒhrung des Funktionsbausteins OIB_QCI_SERVER nicht mehr erlaubt. Kunden, die diesen Patch bereits eingespielt haben, wird empfohlen, auch den neuen Sicherheitshinweis 3399691 zu installieren.
Bitte beachten Sie, dass die Schwachstelle nur dann vollstÀndig geschlossen ist, wenn beide Patches aufgespielt werden und gleichzeitig IS-OIL aktiviert ist.
Denken Sie daran, die HotNews zu verfolgen und Ihre SAP-Systeme auf dem neuesten Stand zu halten!
SchĂŒtzen Sie sich proaktiv vor Cyber-Angriffen und stellen Sie sicher, dass Ihre Systeme rechtzeitig mit Patches aktualisiert werden. Die VernachlĂ€ssigung dieser wichtigen Komponente der SAP-Sicherheit kann zu kostspieligen Datenschutzverletzungen, Systemausfallzeiten und potenziellen ImageschĂ€den fĂŒhren. Kontaktieren Sie uns gerne, wenn Sie UnterstĂŒtzung bei der Absicherung Ihrer SAP-Systeme oder bei der Erstellung eines effektiven monatlichen Patch-Management-Plans benötigen.
Sie möchten mehr zu diesem Thema erfahren und sich ĂŒber weitere neu veröffentlichte Sicherheitshinweise mit hoher und mittlerer PrioritĂ€t informieren? Dann besuchen Sie unseren englischsprachigen Blog.
Lesen Sie auch diese HotNews-Artikel: