{"id":36350,"date":"2024-05-15T03:07:22","date_gmt":"2024-05-15T10:07:22","guid":{"rendered":"https:\/\/pathlock.com\/?p=36350"},"modified":"2026-03-05T09:14:26","modified_gmt":"2026-03-05T14:14:26","slug":"sap-patchday-mai-zwei-neue-hochkritische-security-notes-mit-score-9-6-und-9-8","status":"publish","type":"post","link":"https:\/\/pathlock.com\/de\/sap-patchday-mai-zwei-neue-hochkritische-security-notes-mit-score-9-6-und-9-8\/","title":{"rendered":"SAP Patchday Mai: Zwei neue hochkritische Security Notes mit Score 9.6 und 9.8"},"content":{"rendered":"\n

Zum Patchday im Mai hat SAP zwei neue Sicherheitshinweise mit h\u00f6chster Priorit\u00e4t ver\u00f6ffentlicht. Beheben Sie diese Schwachstellen so schnell wie m\u00f6glich und patchen Sie Ihre Systeme!<\/p>\n\n\n\n

Auf einen Blick die wichtigsten Fakten<\/strong><\/h2>\n\n\n\n

Hinweis 3455438 – [CVE-2019-17495] Mehrere Sicherheitsl\u00fccken in SAP CX Commerce<\/strong><\/p>\n\n\n\n

Diese SAP-Note behandelt insbesondere die folgenden beiden Sicherheitsl\u00fccken in CX Commerce:<\/p>\n\n\n\n

1. CSS Injection-Schwachstelle<\/strong><\/p>\n\n\n\n

SAP CX Commerce verwendet die Benutzeroberfl\u00e4che Swagger, die anf\u00e4llig f\u00fcr CVE-2019-17495<\/a> (CSS Injection) ist. Die Schwachstelle hat einen CVSS-Score von 9.8<\/strong> und erm\u00f6glicht potenziellen Angreifern die Ausf\u00fchrung einer RPO-Technik (Relative Path Overwrite) in CSS-basierten Eingabefeldern.<\/p>\n\n\n\n

Wenn die Sicherheitsl\u00fccke nicht geschlossen wird, stellt sie ein hohes Risiko f\u00fcr die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit von Anwendungen dar.<\/p>\n\n\n\n

2. Remote Code Execution<\/strong><\/p>\n\n\n\n

SAP CX Commerce, das Apache Calcite Avatica Version 1.18.0 nutzt, ist aufgrund einer fehlerhaften Initialisierung anf\u00e4llig f\u00fcr CVE-2022-36364<\/a> (Remote Code Execution). Der Apache Calcite Avatica JDBC-Treiber erstellt HTTP-Client-Instanzen basierend auf Klassennamen, die von der Verbindungseigenschaft „httpclient_impl“ bereitgestellt werden. Der JDBC-Treiber dieser Bibliothek \u00fcberpr\u00fcft nicht, ob die Klasse die erwartete Schnittstelle implementiert, bevor sie instanziiert wird. <\/p>\n\n\n\n

Wenn die Schwachstelle nicht behoben wird, kann sie zur Ausf\u00fchrung von Code f\u00fchren, der \u00fcber beliebige Klassen geladen werden kann. In seltenen F\u00e4llen ist auch eine Remote-Code-Ausf\u00fchrung m\u00f6glich. Die Sicherheitsl\u00fccke hat einen CVSS-Score von 8.8<\/strong>, der niedriger ist als der der oben angegebene Wert, da ein Angreifer ein Mindestma\u00df an Berechtigungen ben\u00f6tigt, um sie erfolgreich auszunutzen. <\/p>\n\n\n\n

SAP Commerce Cloud Patch Release 2205.24<\/strong> enth\u00e4lt die korrigierten Versionen f\u00fcr beide betroffenen Bibliotheken. Ein tempor\u00e4rer Workaround f\u00fcr diese Schwachstelle ist derzeit nicht verf\u00fcgbar.<\/p>\n\n\n\n

<\/p>\n\n\n\n

<\/p>\n\n\n\n

Hinweis 3448171 – [CVE-2024-33006] Datei-Upload-Schwachstelle in SAP NetWeaver Application Server ABAP<\/a> und ABAP Platform<\/strong><\/p>\n\n\n\n

Diese <\/em>Sicherheitsl\u00fccke hat einen CVSS-Score von 9.6<\/strong>. Aufgrund einer fehlenden Signatur\u00fcberpr\u00fcfung f\u00fcr zwei Content Repositories, „FILESYSTEM“ und „SOMU_DB“, kann ein nicht authentifizierter Benutzer eine sch\u00e4dliche Datei auf den Server hochladen. Greift ein Anwender auf diese Datei zu, kann der Angreifer das System vollst\u00e4ndig kompromittieren.<\/p>\n\n\n\n

SAP stellt mit den Support Packages in der Security Note eine sichere Standardkonfiguration zur Verf\u00fcgung. Diese Konfiguration gilt jedoch nur f\u00fcr Neuinstallationen, d.h. nach einem Upgrade oder Update auf die in diesem SAP-Hinweis genannte Version m\u00fcssen Administratoren manuelle Konfigurations\u00e4nderungen vornehmen. Weitere Informationen finden Sie in der Note 3448453. <\/p>\n\n\n\n

Als tempor\u00e4re L\u00f6sung zur Behebung dieser Schwachstelle empfiehlt SAP die folgenden Schritte: <\/em><\/p>\n\n\n\n

    \n
  1. F\u00fchren Sie die Transaktion „OAC0“ aus<\/li>\n\n\n\n
  2. \u00d6ffnen Sie das Content-Repository „FILESYSTEM“ f\u00fcr alle Releases<\/li>\n\n\n\n
  3. \u00c4ndern Sie die Versionsnummer auf „0047“ (Content Server Version 4.7)<\/li>\n\n\n\n
  4. Deaktivieren Sie die Checkbox „No Signature“<\/li>\n\n\n\n
  5. Speichern Sie die Einstellungen<\/li>\n\n\n\n
  6. F\u00fchren Sie die Transaktion „OAC0“ aus<\/li>\n\n\n\n
  7. \u00d6ffnen Sie das Content-Repository „SOMU_DB“, wenn Sie Release 7.50 oder h\u00f6her haben<\/li>\n\n\n\n
  8. \u00c4ndern Sie die Versionsnummer auf „0047“ (Content Server Version 4.7)<\/li>\n\n\n\n
  9. Deaktivieren Sie das Checkbox „Keine Signatur“<\/li>\n\n\n\n
  10. Speichern Sie die Einstellungen<\/li>\n<\/ol>\n\n\n\n

    <\/p>\n\n\n\n

    Bereitstellung weiterer SAP Notes<\/strong><\/strong><\/h2>\n\n\n\n

    Insgesamt meldete SAP<\/a> in diesem Monat 14 neue Notes, darunter noch eine mit hoher Priorit\u00e4t (Score 8.1) sowie drei Update-Notes. Details dazu finden Sie in unserem englischsprachigen Blog<\/a>.<\/p>\n\n\n\n

    Verfolgen Sie regelm\u00e4\u00dfig die HotNews und patchen Sie Ihre SAP-Systeme!<\/strong><\/h2>\n\n\n\n

    Sie leisten bereits einen proaktiven Beitrag zur Absicherung Ihrer SAP-Systeme, wenn Sie die SAP-Hinweise regelm\u00e4\u00dfig verfolgen und die bekanntgegebenen, hochkritischen Schwachstellen zeitnah beheben. So handeln Sie vorausschauend und erh\u00f6hen die Chance, einen b\u00f6swilligen Angriff zu verhindern.<\/p>\n\n\n\n

    Falls Sie in den letzten Monaten noch keine Patches eingespielt haben, k\u00f6nnen Ihnen auch die folgenden Artikel zu hochkritischen SAP-Hinweisen weiterhelfen:<\/p>\n\n\n\n

    \n
    SAP Security Patchday: Zwei Hot News mit Scores von 9.1 und 9.8 im August<\/a><\/blockquote>