SAP Security Patchday: Zwei Hot News mit Scores von 9.1 und 9.8 im August

Zum Patchday im August warnt SAP vor zwei hochkritischen Sicherheitslücken und stellt die passenden Updates zur Verfügung. Verfolgen Sie die Hot News, patchen Sie Ihre Systeme so schnell wie möglich und beheben Sie die Schwachstellen!

Zusammenfassung der SAP Hot News im August 2024

Note 3479478 – [CVE-2024-41730] Fehlende Authentifizierungsprüfung in SAP BusinessObjects Business Intelligence Platform

Wenn Single Sign-On für die Unternehmensauthentifizierung in SAP BusinessObjects Business Intelligence Platform aktiviert ist, könnte ein nicht autorisierter Benutzer ein Anmeldetoken über einen REST-Endpunkt erhalten. Dadurch kann ein Angreifer das System vollständig kompromittieren, was erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit hat. Die Schwachstelle hat einen CVSS-Wert von 9.8 und betrifft die ENTERPRISE-Versionen 430 und 440.

Die Konfiguration der Enterprise Authentication mit Single Sign-On ist jetzt standardmäßig gesichert und das Problem lässt sich mit den von SAP angegebenen Support Package Patches beheben.

Note 3477196 – [CVE-2024-29415] Server-Side Request Forgery-Schwachstelle in mit SAP Build Apps erstellten Anwendungen

Das ip-Paket bis 2.0.1 für Node.js könnte SSRF ermöglichen, da einige IP-Adressen (wie 127.1, 01200034567, 012.1.2.3, 000:0:0000::01 und ::fFFf:127.0.0.1) fälschlicherweise als global routbar über isPublic kategorisiert werden. Die Sicherheitslücke hat einen CVSS-Score von 9.1 und ist auf einen unvollständigen Patch für CVE-2023-42282 zurückzuführen.

Betroffen sind Anwendungen, die mit SAP Build Apps, Versionen < 4.11.130 erstellt wurden. Sie sind aufgrund der Verwendung einer älteren Version der Node.js-Bibliothek anfällig für CVE-2024-29415. Dies birgt ein hohes Risiko in Bezug auf Vertraulichkeit und Integrität, wenn gleich die Verfügbarkeit nicht beeinträchtigt wird.

Als Lösung empfiehlt SAP, die Anwendungen in SAP Build Apps mit Version 4.11.130 oder höher neu zu erstellen.

Weitere von SAP bereitgestellte Hinweise

SAP veröffentlichte seit letztem Monat insgesamt 17 neue Security Notes, darunter noch zwei mit hoher Priorität (Score 8.2 und 7.4). Außerdem gab es acht Aktualisierungen für bereits veröffentlichte Sicherheitshinweise. Um welche Schwachstellen es sich genau handelt, erfahren Sie in unserem englischen Blog.

Priorisieren Sie das Patchen Ihrer IT-Systeme!

Wir stellen häufig fest, dass produktive Systeme oft ungepatcht bleiben, weil sie an geschäftskritischen Kernprozessen beteiligt sind, die keine Wartungsfenster für umfangreiche Updates erlauben. So kommt es, dass gerade die wichtigsten Systeme paradoxerweise auch das höchste Angriffsrisiko aufweisen. Zum Schutz Ihrer IT-Landschaft empfehlen wir Ihnen daher dringend, die zur Verfügung gestellten Patches priorisiert einzuspielen. Wenn Sie hierbei Unterstützung benötigen, nehmen Sie Kontakt zu unseren IT-Security-Spezialisten auf.

Frühere Artikel zu SAP Hot News