SAP hat einen neuen HotNews-Hinweis als Sammelnotiz ver\u00f6ffentlicht, der auf mehrere L\u00fccken in den \u201eSAP Business Technology Platform (BTP) Security Services Integration Libraries\u201c hinweist. Diese erm\u00f6glichen Angreifern die Ausweitung von Rechten. <\/p>\n\n\n\n
Handeln Sie umgehend und patchen Sie Ihre Systeme!<\/strong><\/p>\n\n\n\n Im Vergleich zu den Patchday-Ver\u00f6ffentlichungen im Oktober und November enth\u00e4lt die Dezember-Version insgesamt mehr Patches mit einem h\u00f6heren Schweregrad. In diesem Artikel konzentrieren wir uns auf die SAP Security<\/a> Notes mit der h\u00f6chsten Priorit\u00e4t (CVSS-Scores von 9,0 bis 10,0), darunter eine neue HotNews und ein Hinweis-Update.<\/p>\n\n\n\n Sammelhinweis 3411067<\/strong> – [CVE-2023-49583, CVE-2023-50422, CVE-2023-50423, CVE-2023-50424] hat eine CVSS-Bewertung von 9,1 und beschreibt die „Eskalation von Privilegien in SAP Business Technology Platform (BTP) Security Services Integration Libraries“.<\/p>\n\n\n\n Die Schwachstelle betrifft Bibliotheken, die f\u00fcr die Integration von SAP BTP Security Services erstellt wurden, wie z.B. SAP Authorization and Trust Management Service (XSUAA) und verschiedene Identity Services. Nutzt ein Angreifer diese Sicherheitsl\u00fccke erfolgreich aus, kann er sich auch ohne Authentifizierung beliebige Berechtigungen innerhalb der Anwendung verschaffen. SAP hat einen Blogbeitrag<\/a> ver\u00f6ffentlicht, in dem die Wichtigkeit der Aktualisierung der betroffenen Bibliotheken und Komponenten erl\u00e4utert wird. Da es derzeit keine provisorische L\u00f6sung f\u00fcr diese Schwachstelle gibt, wird die Installation der Patches dringend empfohlen.<\/p>\n\n\n\n Hinweis 3399691<\/strong> – [CVE-2023-36922] hat ebenfalls einen CVSS-Wert von 9,1 und ist ein Update der Security Note 3350297<\/strong>, die urspr\u00fcnglich im Juli 2023 ver\u00f6ffentlicht wurde. Der aktualisierte Sicherheitshinweis adressiert eine „OS Command Injection Schwachstelle in SAP ECC und SAP S\/4HANA (IS-OIL)“. Aufgrund eines Programmierfehlers im Funktionsbaustein und im Report erm\u00f6glicht die Komponente IS-OIL in SAP ECC und SAP S\/4HANA einem authentifizierten Angreifer, einen beliebigen Betriebssystembefehl in einen ungesch\u00fctzten Parameter in einer gemeinsamen (Standard-)Erweiterung einzuf\u00fcgen. Wird diese Schwachstelle erfolgreich ausgenutzt, kann der Angreifer unautorisierten Zugriff auf den Applikationsserver erlangen. Systemdaten k\u00f6nnen gelesen oder ver\u00e4ndern und das System vollst\u00e4ndig heruntergefahren werden.<\/p>\n\n\n\n Der zuvor im HotNews-Hinweis 3350297 bereitgestellte Patch war f\u00fcr die Komponente IS-OIL-DS-HPM unvollst\u00e4ndig. Als L\u00f6sung hat SAP die Option „Test Selected Routines“ aus dem Report ROIB_QCI_CALL_TEST entfernt. Ebenso ist die direkte Ausf\u00fchrung des Funktionsbausteins OIB_QCI_SERVER nicht mehr erlaubt. Kunden, die diesen Patch bereits eingespielt haben, wird empfohlen, auch den neuen Sicherheitshinweis 3399691 zu installieren. <\/p>\n\n\n\n Bitte beachten Sie, dass die Schwachstelle nur dann vollst\u00e4ndig geschlossen ist, wenn beide Patches aufgespielt werden und gleichzeitig IS-OIL aktiviert ist.<\/p>\n\n\n\n Sch\u00fctzen Sie sich proaktiv vor Cyber-Angriffen und stellen Sie sicher, dass Ihre Systeme rechtzeitig mit Patches aktualisiert werden. Die Vernachl\u00e4ssigung dieser wichtigen Komponente der SAP-Sicherheit kann zu kostspieligen Datenschutzverletzungen, Systemausfallzeiten und potenziellen Imagesch\u00e4den f\u00fchren. Kontaktieren Sie uns<\/a> gerne, wenn Sie Unterst\u00fctzung bei der Absicherung Ihrer SAP-Systeme<\/a> oder bei der Erstellung eines effektiven monatlichen Patch-Management-Plans ben\u00f6tigen.<\/p>\n\n\n\n Sie m\u00f6chten mehr zu diesem Thema erfahren und sich \u00fcber weitere neu ver\u00f6ffentlichte Sicherheitshinweise mit hoher und mittlerer Priorit\u00e4t informieren? Dann besuchen Sie unseren englischsprachigen Blog<\/a>.<\/p>\n\n\n\n Lesen Sie auch diese HotNews-Artikel:<\/strong><\/p>\n\n\n\nDie wichtigsten Keyfacts zu den HotNews des Dezember SAP Patchday<\/strong><\/h2>\n\n\n\n
Privilegieneskalation in SAP Business Technology Platform (BTP) Security Services Integration Libraries<\/strong><\/h3>\n\n\n\n
Security Notes-Update: OS<\/strong> Command Injection-Schwachstelle in SAP ECC und SAP S\/4HANA (IS-OIL)<\/strong><\/h3>\n\n\n\n
Denken Sie daran, die HotNews zu verfolgen und Ihre SAP-Systeme auf dem neuesten Stand zu halten!<\/strong><\/h3>\n\n\n\n