{"id":34809,"date":"2023-09-15T06:56:44","date_gmt":"2023-09-15T13:56:44","guid":{"rendered":"https:\/\/pathlock.com\/?p=34809"},"modified":"2026-03-05T19:12:55","modified_gmt":"2026-03-06T00:12:55","slug":"sap-patchday-september-neue-security-notes-mit-score-ueber-9-0-wichtigste-keyfacts","status":"publish","type":"post","link":"https:\/\/pathlock.com\/de\/sap-patchday-september-neue-security-notes-mit-score-ueber-9-0-wichtigste-keyfacts\/","title":{"rendered":"SAP Patchday September: Zwei neue Security Notes mit Score \u00fcber 9.0 \u2013 die wichtigsten Keyfacts"},"content":{"rendered":"\n

SAP hat gleich mehrere Sicherheitshinweise f\u00fcr den Patch Tuesday im September 2023 bekannt gegeben und f\u00fcnf dieser Security Notes haben die h\u00f6chste HotNews-Priorit\u00e4tsstufe (CVSS-Scores zwischen 9.0 und 10.0). Dabei handelt es sich um zwei neu ver\u00f6ffentlichte Sicherheitshinweise und drei Aktualisierungen bereits bekannter Meldungen. <\/p>\n\n\n\n

Beheben Sie diese Schwachstellen schnellstm\u00f6glich und spielen Sie die bereitgestellten Korrekturanleitungen in Ihre SAP-Systeme ein!<\/p>\n\n\n\n

Neu herausgegebene HotNews, hochkritische Sicherheitshinweise:<\/strong><\/h2>\n\n\n\n

Security Note 3320355<\/a><\/strong> – [CVE-2023-40622] hat eine CVSS-Bewertung von 9,9 erhalten und behebt eine „Offenlegungsanf\u00e4lligkeit in SAP BusinessObjects Business Intelligence Platform (Promotion Management)“. Konkret ist der Job-Ordner der Komponente Promotion Management anf\u00e4llig f\u00fcr die Offenlegung von Informationen. Wenn diese Schwachstelle erfolgreich ausgenutzt wird, k\u00f6nnen sensible Informationen in Kundensystemen preisgegeben werden und Angreifer w\u00e4ren in der Lage, diese Informationen zu nutzen, um die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit der Zielanwendung vollst\u00e4ndig zu beeintr\u00e4chtigen. Obwohl die Schwachstelle nur von einem authentifizierten Benutzer ausgenutzt werden kann, ist die hohe Einstufung durch die katastrophalen Folgen eines erfolgreichen Angriffs gerechtfertigt. Als Abhilfe empfiehlt SAP, nur den tats\u00e4chlich notwendigen Benutzern die entsprechenden Rechte f\u00fcr den Zugriff und die Durchf\u00fchrung von Ma\u00dfnahmen \u00fcber das Aktionsmanagement einzur\u00e4umen. Normale User haben standardm\u00e4\u00dfig keine Ansichtsrechte. Benutzern der Gruppe Administratoren sollten jedoch explizit die Ansichtsrechte auf den Ordner f\u00fcr Bef\u00f6rderungsauftr\u00e4ge verweigert werden.<\/p>\n\n\n\n

Security Note 3340576<\/a><\/strong> – [CVE-2023-40309] hat einen CVSS-Wert von 9,8 und behebt eine „fehlende Berechtigungspr\u00fcfung in SAP CommonCryptoLib“. Die \u00dcberpr\u00fcfung von JavaScript Web Tokens (JWT) und Raw Signatures k\u00f6nnte missgl\u00fccken, was zu fehlenden oder fehlerhaften Berechtigungspr\u00fcfungen in der aufrufenden Applikation f\u00fchrt. Dies kann zu einer unzul\u00e4ssigen Eskalation der Privilegien f\u00fchren. Abh\u00e4ngig von der Anwendung und dem Grad der erlangten Privilegien k\u00f6nnen Angreifer auf eingeschr\u00e4nkte Daten zugreifen, diese \u00e4ndern oder l\u00f6schen oder sogar die betroffene Anwendung vollst\u00e4ndig kompromittieren. Um das Problem zu beheben empfiehlt SAP, CommonCryptoLib 8.5.50 (oder h\u00f6her) herunterzuladen und zu installieren. Eine provisorische L\u00f6sung f\u00fcr diese Schwachstelle gibt es derzeit nicht.<\/p>\n\n\n\n

Aktualisierte, hochkritische HotNews:<\/strong><\/h2>\n\n\n\n

Security Note 2622660<\/strong> <\/a>ist ein regelm\u00e4\u00dfiger Patch. Er bietet Sicherheitsupdates f\u00fcr die Google Chromium Browsersteuerung, die mit dem SAP Business Client ausgeliefert wird. Mit diesem Sicherheitshinweis sollen mehrere Schwachstellen in der Chromium-Browsersteuerung behoben werden. Wenn Sie Ihren SAP Business Client nicht auf den neuesten Patch-Level aktualisieren, kann die Anzeige von Webseiten Ihr System anf\u00e4llig f\u00fcr Speicherbesch\u00e4digungen oder f\u00fcr die Offenlegung von Informationen machen.<\/p>\n\n\n\n

Zu den identifizierten Auswirkungen dieser Schwachstellen geh\u00f6ren<\/p>\n\n\n\n