SAP Patchday Mai: Zwei neue hochkritische Security Notes mit Score 9.6 und 9.8

Zum Patchday im Mai hat SAP zwei neue Sicherheitshinweise mit höchster Priorität veröffentlicht. Beheben Sie diese Schwachstellen so schnell wie möglich und patchen Sie Ihre Systeme!

Auf einen Blick die wichtigsten Fakten

Hinweis 3455438 – [CVE-2019-17495] Mehrere Sicherheitslücken in SAP CX Commerce

Diese SAP-Note behandelt insbesondere die folgenden beiden Sicherheitslücken in CX Commerce:

1. CSS Injection-Schwachstelle

SAP CX Commerce verwendet die Benutzeroberfläche Swagger, die anfällig für CVE-2019-17495 (CSS Injection) ist. Die Schwachstelle hat einen CVSS-Score von 9.8 und ermöglicht potenziellen Angreifern die Ausführung einer RPO-Technik (Relative Path Overwrite) in CSS-basierten Eingabefeldern.

Wenn die Sicherheitslücke nicht geschlossen wird, stellt sie ein hohes Risiko für die Vertraulichkeit, Integrität und Verfügbarkeit von Anwendungen dar.

2. Remote Code Execution

SAP CX Commerce, das Apache Calcite Avatica Version 1.18.0 nutzt, ist aufgrund einer fehlerhaften Initialisierung anfällig für CVE-2022-36364 (Remote Code Execution). Der Apache Calcite Avatica JDBC-Treiber erstellt HTTP-Client-Instanzen basierend auf Klassennamen, die von der Verbindungseigenschaft „httpclient_impl“ bereitgestellt werden. Der JDBC-Treiber dieser Bibliothek überprüft nicht, ob die Klasse die erwartete Schnittstelle implementiert, bevor sie instanziiert wird.

Wenn die Schwachstelle nicht behoben wird, kann sie zur Ausführung von Code führen, der über beliebige Klassen geladen werden kann. In seltenen Fällen ist auch eine Remote-Code-Ausführung möglich. Die Sicherheitslücke hat einen CVSS-Score von 8.8, der niedriger ist als der der oben angegebene Wert, da ein Angreifer ein Mindestmaß an Berechtigungen benötigt, um sie erfolgreich auszunutzen.

SAP Commerce Cloud Patch Release 2205.24 enthält die korrigierten Versionen für beide betroffenen Bibliotheken. Ein temporärer Workaround für diese Schwachstelle ist derzeit nicht verfügbar.

Hinweis 3448171 – [CVE-2024-33006] Datei-Upload-Schwachstelle in SAP NetWeaver Application Server ABAP und ABAP Platform

Diese Sicherheitslücke hat einen CVSS-Score von 9.6. Aufgrund einer fehlenden Signaturüberprüfung für zwei Content Repositories, „FILESYSTEM“ und „SOMU_DB“, kann ein nicht authentifizierter Benutzer eine schädliche Datei auf den Server hochladen. Greift ein Anwender auf diese Datei zu, kann der Angreifer das System vollständig kompromittieren.

SAP stellt mit den Support Packages in der Security Note eine sichere Standardkonfiguration zur Verfügung. Diese Konfiguration gilt jedoch nur für Neuinstallationen, d.h. nach einem Upgrade oder Update auf die in diesem SAP-Hinweis genannte Version müssen Administratoren manuelle Konfigurationsänderungen vornehmen. Weitere Informationen finden Sie in der Note 3448453.

Als temporäre Lösung zur Behebung dieser Schwachstelle empfiehlt SAP die folgenden Schritte:

1. Führen Sie die Transaktion „OAC0“ aus
2. Öffnen Sie das Content-Repository „FILESYSTEM“ für alle Releases
3. Ändern Sie die Versionsnummer auf „0047“ (Content Server Version 4.7)
4. Deaktivieren Sie die Checkbox „No Signature“
5. Speichern Sie die Einstellungen
6. Führen Sie die Transaktion „OAC0“ aus
7. Öffnen Sie das Content-Repository „SOMU_DB“, wenn Sie Release 7.50 oder höher haben
8. Ändern Sie die Versionsnummer auf „0047“ (Content Server Version 4.7)
9. Deaktivieren Sie das Checkbox „Keine Signatur“
10. Speichern Sie die Einstellungen

Bereitstellung weiterer SAP Notes

Insgesamt meldete SAP in diesem Monat 14 neue Notes, darunter noch eine mit hoher Priorität (Score 8.1) sowie drei Update-Notes. Details dazu finden Sie in unserem englischsprachigen Blog.

Verfolgen Sie regelmäßig die HotNews und patchen Sie Ihre SAP-Systeme!

Sie leisten bereits einen proaktiven Beitrag zur Absicherung Ihrer SAP-Systeme, wenn Sie die SAP-Hinweise regelmäßig verfolgen und die bekanntgegebenen, hochkritischen Schwachstellen zeitnah beheben. So handeln Sie vorausschauend und erhöhen die Chance, einen böswilligen Angriff zu verhindern.

Falls Sie in den letzten Monaten noch keine Patches eingespielt haben, können Ihnen auch die folgenden Artikel zu hochkritischen SAP-Hinweisen weiterhelfen: