SAP hat f\u00fcr den Patchday im M\u00e4rz zwei Sicherheitshinweise mit h\u00f6chster Priorit\u00e4t und einem CVSS-Score \u00fcber 9 ver\u00f6ffentlicht. Handeln Sie jetzt und schlie\u00dfen Sie diese Schwachstellen!<\/p>\n\n\n\n
Hinweis 3433192 – [CVE-2024-22127] Code-Injection-Schwachstelle in SAP NetWeaver AS Java<\/strong><\/p>\n\n\n\n Das Administrator Log Viewer Plug-in<\/strong> von SAP Netweaver AS Java, ab Version 7.50, erlaubt einem Angreifer mit erweiterten Rechten potenziell gef\u00e4hrliche Dateien hochzuladen. Dadurch k\u00f6nnte er b\u00f6sartige Befehle einschleusen, mit denen sich nicht autorisierte Operationen durchf\u00fchren lassen, die den Betrieb des Systems stark gef\u00e4hrden. Die Command-Injection-Schwachstelle mit dem CVSS-Wert von 9.1 besteht aufgrund einer unvollst\u00e4ndigen Liste verbotener Dateitypen f\u00fcr die Upload-Funktionalit\u00e4t des Log Viewer Plug-ins.<\/p>\n\n\n\n Um dem entgegenzuwirken, stellt SAP mit dieser Security Note eine erweiterte Liste der verbotenen Dateitypen zur Verf\u00fcgung. Zus\u00e4tzlich wird die Aktivierung der Virenpr\u00fcfung beim Datei-Upload als weitere Sicherheitsma\u00dfnahme empfohlen.<\/p>\n\n\n\n Als tempor\u00e4ren Workaround schl\u00e4gt SAP den Zugriff auf den NetWeaver Administrator mit der Benutzerrolle ‚NWA_READONLY‘ anstelle der Benutzerrolle ‚Administrators‘ vor. \u00a0Dieser Workaround ist jedoch nicht als dauerhafte L\u00f6sung gedacht.<\/p>\n\n\n\n <\/p>\n\n\n\n Hinweis 3425274 – [CVE-2019-10744] Code-Injection-Schwachstelle in Anwendungen, die mit SAP Build Apps erstellt wurden<\/strong><\/p>\n\n\n\n Es handelt sich um eine Sicherheitsl\u00fccke mit dem CVSS-Wert 9.4, durch die Angreifer beliebigen Code und nicht autorisierte Befehle in Anwendungen einschleusen k\u00f6nnen, die mit SAP Build Apps vor Version 4.9.145 erstellt wurden. Wird diese Schwachstelle nicht behoben und erfolgreich ausgenutzt, besteht neben einem geringen Risiko f\u00fcr die Systemvertraulichkeit ein hohes Risiko f\u00fcr die Systemintegrit\u00e4t und -verf\u00fcgbarkeit.<\/p>\n\n\n\n Als L\u00f6sung empfiehlt SAP, die betroffenen Anwendungen mit SAP Build Apps Version 4.9.145 oder h\u00f6her neu zu erstellen. <\/p>\n\n\n\n Ein tempor\u00e4rer Workaround f\u00fcr diese Schwachstelle ist derzeit nicht verf\u00fcgbar.<\/p>\n\n\n\n <\/p>\n\n\n\n Dar\u00fcber hinaus meldet SAP weitere neue Notes, darunter zwei mit hoher Priorit\u00e4t (Score \u00fcber 7.0) sowie zwei kritische und hochkritische Update-Notes (Score 8.8 und 10.0). Details dazu finden Sie in unserem englischsprachigen Blog<\/strong><\/a>.<\/p>\n\n\n\n <\/p>\n\n\n\n Um zu verhindern, dass b\u00f6swillige Angreifer diese hochkritischen Sicherheitsl\u00fccken ausnutzen, sollten Sie stets vorausschauend reagieren! Sie k\u00f6nnen sich beispielsweise proaktiv vor Cyber-Bedrohungen sch\u00fctzen<\/strong><\/a>, indem Sie einen effektiven monatlichen Patch-Management-Plan<\/strong> erstellen.<\/p>\n\n\n\n Wir m\u00f6chten Sie stets \u00fcber die aktuellen SAP-Sicherheitshinweise auf dem Laufenden halten. Schauen Sie also n\u00e4chsten Monat wieder vorbei, um die neuesten SAP Patch Day Notes zu lesen. Sollten Sie weitere Unterst\u00fctzung ben\u00f6tigen, z\u00f6gern Sie bitte nicht, uns zu kontaktieren<\/strong>.<\/a><\/p>\n\n\n\n Haben Sie die Patches der HotNews vom Januar und Februar eingespielt? <\/strong><\/p>\n\n\n\nSonstige SAP-Sicherheitshinweise<\/strong><\/h2>\n\n\n\n
Halten Sie Ihre SAP-Systeme durch zeitnahes Einspielen von Patches auf dem neuesten Stand<\/strong><\/h2>\n\n\n\n