SAP Security Patchday: Hot News Update mit Scores von 9.8 im Oktober

SAP hat die neuen monatlichen Patchday-Informationen bereitgestellt, darunter befindet sich ein Hot News-Update-Hinweis mit CVSS Score 9.8. Schließen Sie umgehend diese hochkritische Sicherheitslücke und patchen Sie Ihre Systeme so schnell wie möglich!

Zusammenfassung der Hot News-Patchday-Mitteilung im Oktober

Note 3479478 – [CVE-2024-41730] – CVSS Score 9.8

Fehlende Authentifizierungsprüfung in SAP BusinessObjects Business Intelligence Platform
Wenn Single Sign-On für Enterprise-Authentifizierung in SAP BusinessObjects Business Intelligence aktiviert ist, kann ein nicht autorisierter Benutzer ein Anmeldetoken über einen REST-Endpunkt abrufen. Der Angreifer kann das gesamte System kompromittieren, was erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit hat.

Diese SAP Note wurde nach der letzten Veröffentlichung im August 2024 mit aktualisierten Informationen zu „Support Packages & Patches“ erneut herausgegeben. Die Korrektur ist in 4.2 SP009 enthalten. Die Konfiguration der Single-Sign-On-Enterprise-Authentifizierung ist nun standardmäßig sicher.

Hinweis: SAP BusinessObjects Business Intelligence ist nur betroffen, wenn biprws auf unterstützten Webanwendungs-Servern mit Ausnahme des WACS-Servers implementiert ist.

SAP bietet auch eine umfangreiche Workaround-Lösung an, die Sie in der SAP Security Note vom 8. Oktober nachlesen können. Bitte prüfen Sie die Anwendbarkeit dieses Behelfs für Ihre SAP-Landschaft, bevor Sie mit der Implementierung beginnen. Berücksichtigen Sie dabei auch die Auswirkungen der Behelfslösung, da alle Trusted Authentication Workflows, die auf der Trusted Authentication von biprws basieren, nicht mehr funktionieren.

Die Behelfslösung ist eine temporäre Korrektur und keine dauerhafte Lösung. SAP empfiehlt daher dringend, die im Sicherheitshinweis beschriebenen Korrekturen einzuspielen.

Wichtig, auch weniger kritische Schwachstellen sollten regelmäßig behoben werden!

Unter den Hinweisen befinden sich auch noch zwei Security Notes mit hoher Priorität:

• Note 3478615 [CVE-2024-37179] – CVSS Score 7.7: Schwachstelle durch unsichere Dateioperationen in SAP BusinessObjects Business Intelligence Plattform (Web Intelligence)
• Note 3523541 [CVE-2022-23302] – CVSS Score 8.0: Mehrere Schwachstellen in SAP Enterprise Project Connection

Details hierzu und zu weniger kritischen Schwachstellen sind ebenfalls in den SAP Notes vom 8. Oktober enthalten.

Wenn Sie weitere Informationen oder Unterstützung beim Patchen Ihrer Systeme benötigen, wenden Sie sich bitte per E-Mail an uns.

Frühere SAP Hot News