de Kontakt

Zum Patchday im Mai hat SAP zwei neue Sicherheitshinweise mit höchster PrioritÀt veröffentlicht. Beheben Sie diese Schwachstellen so schnell wie möglich und patchen Sie Ihre Systeme!

Auf einen Blick die wichtigsten Fakten

Hinweis 3455438 – [CVE-2019-17495] Mehrere SicherheitslĂŒcken in SAP CX Commerce

Diese SAP-Note behandelt insbesondere die folgenden beiden SicherheitslĂŒcken in CX Commerce:

1. CSS Injection-Schwachstelle

SAP CX Commerce verwendet die BenutzeroberflĂ€che Swagger, die anfĂ€llig fĂŒr CVE-2019-17495 (CSS Injection) ist. Die Schwachstelle hat einen CVSS-Score von 9.8 und ermöglicht potenziellen Angreifern die AusfĂŒhrung einer RPO-Technik (Relative Path Overwrite) in CSS-basierten Eingabefeldern.

Wenn die SicherheitslĂŒcke nicht geschlossen wird, stellt sie ein hohes Risiko fĂŒr die Vertraulichkeit, IntegritĂ€t und VerfĂŒgbarkeit von Anwendungen dar.

2. Remote Code Execution

SAP CX Commerce, das Apache Calcite Avatica Version 1.18.0 nutzt, ist aufgrund einer fehlerhaften Initialisierung anfĂ€llig fĂŒr CVE-2022-36364 (Remote Code Execution). Der Apache Calcite Avatica JDBC-Treiber erstellt HTTP-Client-Instanzen basierend auf Klassennamen, die von der Verbindungseigenschaft „httpclient_impl“ bereitgestellt werden. Der JDBC-Treiber dieser Bibliothek ĂŒberprĂŒft nicht, ob die Klasse die erwartete Schnittstelle implementiert, bevor sie instanziiert wird.

Wenn die Schwachstelle nicht behoben wird, kann sie zur AusfĂŒhrung von Code fĂŒhren, der ĂŒber beliebige Klassen geladen werden kann. In seltenen FĂ€llen ist auch eine Remote-Code-AusfĂŒhrung möglich. Die SicherheitslĂŒcke hat einen CVSS-Score von 8.8, der niedriger ist als der der oben angegebene Wert, da ein Angreifer ein Mindestmaß an Berechtigungen benötigt, um sie erfolgreich auszunutzen.

SAP Commerce Cloud Patch Release 2205.24 enthĂ€lt die korrigierten Versionen fĂŒr beide betroffenen Bibliotheken. Ein temporĂ€rer Workaround fĂŒr diese Schwachstelle ist derzeit nicht verfĂŒgbar.

Hinweis 3448171 – [CVE-2024-33006] Datei-Upload-Schwachstelle in SAP NetWeaver Application Server ABAP und ABAP Platform

Diese SicherheitslĂŒcke hat einen CVSS-Score von 9.6. Aufgrund einer fehlenden SignaturĂŒberprĂŒfung fĂŒr zwei Content Repositories, „FILESYSTEM“ und „SOMU_DB“, kann ein nicht authentifizierter Benutzer eine schĂ€dliche Datei auf den Server hochladen. Greift ein Anwender auf diese Datei zu, kann der Angreifer das System vollstĂ€ndig kompromittieren.

SAP stellt mit den Support Packages in der Security Note eine sichere Standardkonfiguration zur VerfĂŒgung. Diese Konfiguration gilt jedoch nur fĂŒr Neuinstallationen, d.h. nach einem Upgrade oder Update auf die in diesem SAP-Hinweis genannte Version mĂŒssen Administratoren manuelle KonfigurationsĂ€nderungen vornehmen. Weitere Informationen finden Sie in der Note 3448453.

Als temporÀre Lösung zur Behebung dieser Schwachstelle empfiehlt SAP die folgenden Schritte:

  1. FĂŒhren Sie die Transaktion „OAC0“ aus
  2. Öffnen Sie das Content-Repository „FILESYSTEM“ fĂŒr alle Releases
  3. Ändern Sie die Versionsnummer auf „0047“ (Content Server Version 4.7)
  4. Deaktivieren Sie die Checkbox „No Signature“
  5. Speichern Sie die Einstellungen
  6. FĂŒhren Sie die Transaktion „OAC0“ aus
  7. Öffnen Sie das Content-Repository „SOMU_DB“, wenn Sie Release 7.50 oder höher haben
  8. Ändern Sie die Versionsnummer auf „0047“ (Content Server Version 4.7)
  9. Deaktivieren Sie das Checkbox „Keine Signatur“
  10. Speichern Sie die Einstellungen

Bereitstellung weiterer SAP Notes

Insgesamt meldete SAP in diesem Monat 14 neue Notes, darunter noch eine mit hoher PrioritÀt (Score 8.1) sowie drei Update-Notes. Details dazu finden Sie in unserem englischsprachigen Blog.

Verfolgen Sie regelmĂ€ĂŸig die HotNews und patchen Sie Ihre SAP-Systeme!

Sie leisten bereits einen proaktiven Beitrag zur Absicherung Ihrer SAP-Systeme, wenn Sie die SAP-Hinweise regelmĂ€ĂŸig verfolgen und die bekanntgegebenen, hochkritischen Schwachstellen zeitnah beheben. So handeln Sie vorausschauend und erhöhen die Chance, einen böswilligen Angriff zu verhindern.

Falls Sie in den letzten Monaten noch keine Patches eingespielt haben, können Ihnen auch die folgenden Artikel zu hochkritischen SAP-Hinweisen weiterhelfen:

Inhalte