Willkommen zu den aktuellsten SAP Security News. Jeden Monat informiert SAP am Patchday über die neuesten Sicherheitslücken und deren Bewertungen anhand des CVSS (Common Vulnerability Scoring System). Diese Bewertungen reichen von 1 bis 10, wobei 10 die kritischste Stufe darstellt.
Wir möchten Sie hier auf einige aktualisierte Hinweise aufmerksam machen, die einen CVSS-Wert von über 7 aufweisen. Sicherheitslücken können erhebliche Auswirkungen auf Ihr SAP-System haben, da sie Angreifern die Möglichkeit geben, das System zu kompromittieren. Die spezifischen Auswirkungen sind in den jeweiligen SAP-Hinweisen detailliert beschrieben:
(CVSS 8,8) BC-CST-WDP
Ein nicht authentifizierter Angreifer kann einen schädlichen Link anlegen, den er öffentlich verfügbar machen kann. Wenn ein authentifiziertes Opfer auf diesen schädlichen Link klickt, werden die Eingabedaten von der Webseitengenerierung verwendet, um Inhalte zu erstellen, die es dem Angreifer bei der Ausführung im Browser des Opfers (XXS) oder bei der Übertragung an einen anderen Server (SSRF) ermöglicht, beliebigen Code auf dem Server auszuführen und dabei die Vertraulichkeit, Integrität und Verfügbarkeit vollständig zu gefährden. Um die Schwachstelle auszunutzen, muss ein Angreifer das Opfer dazu bringen, sich über einen Browser an der Administrations-UI anzumelden. Nicht authentifizierter Zugriff ist nicht betroffen. Daher ist ein System nicht anfällig, wenn es keine Benutzer mit der Berechtigung zur Verwendung der Administrations-UI gibt. Eine Behelfslösung ist das Deaktivieren der Administrations-UI.
(CVSS 7,7) FIN-BA
Elemente von SAP PDCE führen für einen authentifizierten Benutzer nicht die erforderlichen Berechtigungsprüfungen durch, was eine Rechteausweitung zur Folge hat. Dies ermöglicht es einem Angreifer, sensible Informationen zu lesen, was erhebliche Auswirkungen auf die Vertraulichkeit der Anwendung hat. Die betroffenen Funktionen werden mit dem im Hinweis angegebenen Patches deaktiviert, um den Zugriff zu beschränken.
Handlungsempfehlungen
Es wird dringend empfohlen, die genannten Hinweise zu prüfen und gegebenenfalls Maßnahmen zu ergreifen. Die Relevanz der Hinweise für Ihre spezifische Umgebung sollte im Einzelfall geprüft werden.
Unterstützung und Kontakt
Eine automatisierte und zielgerichtete Bewertung der Relevanz der Hinweise ist mithilfe des „System Recommendations Service“ möglich.
Benötigen Sie mehr Informationen, Hilfe bei der Analyse Ihrer Systemlandschaft oder bei der Umsetzung der Patch-Einspielung? Unser SAP-Experte Carsten Linz steht Ihnen gerne zur Verfügung. Vereinbaren Sie jetzt direkt online einen Termin oder kontaktieren Sie uns unkompliziert per Mail oder telefonisch.
Um auch wirklich kein Update mehr zu verpassen, folgen Sie uns doch auf LinkedIn und melden Sie sich zu unserem monatlichen Patchday-Newsletter an.
Opmerkingen