SAP Patchday November: Neuer hochkritischer HotNews Security-Hinweis!

SAP hat einen neuen Sicherheitshinweis sowie ein HotNews-Update mit höchster Prioritätsstufe (CVSS-Scores zwischen 9.0 und 10.0) für den Patch Tuesday im November 2023 bekannt gegeben. Handeln Sie jetzt und beheben Sie diese Schwachstellen schnellstmöglich!

Wir fassen für Sie die wichtigsten Fakten der beiden hochkritischen HotNews-Sicherheitshinweise zusammen:

SAP Business One bedarf besonderer Aufmerksamkeit!

Es handelt sich um eine Sicherheitslücke in der Zugriffskontrolle, die erhebliche Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit haben kann:

Hinweis 3355658 – [CVE-2023-31403] hat eine CVSS-Bewertung von 9,6 erhalten und behebt eine Schwachstelle hinsichtlich unzulässiger Zugriffskontrolle, verursacht durch den Installationsprozess von SAP Business One. Der Prozess ermöglicht anonymen Benutzern Lese- und Schreibzugriff auf den freigegebenen SMB-Ordner. Die betroffenen Komponenten sind der Crystal Report (CR) Shared Folder, Traditional Mobile App (Attachment Path), RSP (Log Folder Logic), Job Service und BAS (File Upload Folder).

Auch wenn der Hinweis nur eine Korrektur für SAP Business One 10.0 SP 2308 beinhaltet, sind auch Installationen mit niedrigeren Support Packages (SP) durch die Schwachstelle gefährdet. Für diese niedrigeren SP-Level ist weder ein Hotfix noch ein geeigneter und sicherer Workaround verfügbar. Betroffene Kunden sollten ihre Installation auf SP 2308 aktualisieren und den bereitgestellten Hotfix einspielen. Bitte beachten Sie auch den FAQ-Eintrag #3400236.

HotNews-Hinweis-Update zur fehlenden Berechtigungsprüfung in SAP CommonCryptoLib

Die zweite hochkritische Schwachstelle ist ein Update der SAP Patch Day Meldung, die im September veröffentlicht wurde:

Hinweis 3340576 – [CVE-2023-40309] hat einen CVSS-Wert von 9,8 und soll eine kritische fehlende Berechtigungsprüfung in der SAP CommonCryptoLib beheben, die zu einer vollständigen Kompromittierung der betroffenen Anwendung führen kann. SAP hat ein Update des Hinweises mit geringfügigen Textänderungen veröffentlicht, die sich auf den SAP-Hinweis auswirken, auf den im Abschnitt Lösungen für Kunden von SAP HANA Database 2.0 auf SPS06 verwiesen wird.

Mehr zu dieser SAP-Note erfahren Sie in unserem September-Blog.

Patchen Sie Ihre Systeme frühzeitig!

Zur Aufrechterhaltung der Vertraulichkeit, Integrität und Verfügbarkeit (CIA) Ihrer SAP-Systeme sind die monatlich am SAP Patch Tuesday veröffentlichten Sicherheitspatches von entscheidender Bedeutung. Sie beheben kritische Schwachstellen, die von böswilligen Angreifern immer wieder ausgenutzt werden, um Daten und Prozesse in Unternehmen zu gefährden. Ein effektives monatliches Patch-Management schützt Sie proaktiv vor Cyber-Bedrohungen. Wenn Sie Unterstützung beim monatlichen Patching Ihrer SAP-Systeme benötigen, kontaktieren Sie uns.

Weitere Informationen zu neu veröffentlichten Sicherheitshinweisen mit hoher und mittlerer Priorität finden Sie in unserem englischsprachigen Blog, von Jordan Tunks (Product Marketing Manager Pathlock).

Weitere brisante SAP HotNews: