de Kontakt

SAP hat fĂŒr den Patchday im MĂ€rz zwei Sicherheitshinweise mit höchster PrioritĂ€t und einem CVSS-Score ĂŒber 9 veröffentlicht. Handeln Sie jetzt und schließen Sie diese Schwachstellen!

Wir fassen das Wichtigste der beiden hochkritischen Sicherheitshinweise zusammen

Hinweis 3433192 – [CVE-2024-22127] Code-Injection-Schwachstelle in SAP NetWeaver AS Java

Das Administrator Log Viewer Plug-in von SAP Netweaver AS Java, ab Version 7.50, erlaubt einem Angreifer mit erweiterten Rechten potenziell gefĂ€hrliche Dateien hochzuladen. Dadurch könnte er bösartige Befehle einschleusen, mit denen sich nicht autorisierte Operationen durchfĂŒhren lassen, die den Betrieb des Systems stark gefĂ€hrden. Die Command-Injection-Schwachstelle mit dem CVSS-Wert von 9.1 besteht aufgrund einer unvollstĂ€ndigen Liste verbotener Dateitypen fĂŒr die Upload-FunktionalitĂ€t des Log Viewer Plug-ins.

Um dem entgegenzuwirken, stellt SAP mit dieser Security Note eine erweiterte Liste der verbotenen Dateitypen zur VerfĂŒgung. ZusĂ€tzlich wird die Aktivierung der VirenprĂŒfung beim Datei-Upload als weitere Sicherheitsmaßnahme empfohlen.

Als temporĂ€ren Workaround schlĂ€gt SAP den Zugriff auf den NetWeaver Administrator mit der Benutzerrolle ‚NWA_READONLY‘ anstelle der Benutzerrolle ‚Administrators‘ vor.  Dieser Workaround ist jedoch nicht als dauerhafte Lösung gedacht.

Hinweis 3425274 – [CVE-2019-10744] Code-Injection-Schwachstelle in Anwendungen, die mit SAP Build Apps erstellt wurden

Es handelt sich um eine SicherheitslĂŒcke mit dem CVSS-Wert 9.4, durch die Angreifer beliebigen Code und nicht autorisierte Befehle in Anwendungen einschleusen können, die mit SAP Build Apps vor Version 4.9.145 erstellt wurden. Wird diese Schwachstelle nicht behoben und erfolgreich ausgenutzt, besteht neben einem geringen Risiko fĂŒr die Systemvertraulichkeit ein hohes Risiko fĂŒr die SystemintegritĂ€t und -verfĂŒgbarkeit.

Als Lösung empfiehlt SAP, die betroffenen Anwendungen mit SAP Build Apps Version 4.9.145 oder höher neu zu erstellen.

Ein temporĂ€rer Workaround fĂŒr diese Schwachstelle ist derzeit nicht verfĂŒgbar.

Sonstige SAP-Sicherheitshinweise

DarĂŒber hinaus meldet SAP weitere neue Notes, darunter zwei mit hoher PrioritĂ€t (Score ĂŒber 7.0) sowie zwei kritische und hochkritische Update-Notes (Score 8.8 und 10.0). Details dazu finden Sie in unserem englischsprachigen Blog.

Halten Sie Ihre SAP-Systeme durch zeitnahes Einspielen von Patches auf dem neuesten Stand

Um zu verhindern, dass böswillige Angreifer diese hochkritischen SicherheitslĂŒcken ausnutzen, sollten Sie stets vorausschauend reagieren! Sie können sich beispielsweise proaktiv vor Cyber-Bedrohungen schĂŒtzen, indem Sie einen effektiven monatlichen Patch-Management-Plan erstellen.

Wir möchten Sie stets ĂŒber die aktuellen SAP-Sicherheitshinweise auf dem Laufenden halten. Schauen Sie also nĂ€chsten Monat wieder vorbei, um die neuesten SAP Patch Day Notes zu lesen. Sollten Sie weitere UnterstĂŒtzung benötigen, zögern Sie bitte nicht, uns zu kontaktieren.

Haben Sie die Patches der HotNews vom Januar und Februar eingespielt?

Inhalte