top of page

Aktuelle SAP Security News - 10/2024

SAP informiert regelmäßig (am monthly Patch-day) über aktuelle Sicherheitslücken. Die Bewertung erfolgt anhand des CVSS (Common Vulnerability Scoring System), auf einer Skala von 1-10, wobei 10 am kritischsten ist.


SAP Security


Was sind die Auswirkungen auf das SAP System?

Aufgrund von Sicherheitslücken können Angreifer das SAP System kompromittieren. Die Auswirkungen sind in den jeweiligen SAP-Hinweise beschrieben.


Wo finde ich genauere Informationen?

Aktuell möchten wir auf folgende aktualisierte Hinweise aufmerksam machen, die einen CVSS größer 7,0 aufweisen.


Wenn in SAP BusinessObjects Business Intelligence Platform das Single Sign-On für die Enterprise-Authentifizierung aktiviert ist, kann ein nicht autorisierter Benutzer ein Anmeldetoken über einen REST-Endpunkt erhalten. Dies kann das System vollständig kompromittieren und die Vertraulichkeit, Integrität und Verfügbarkeit stark beeinträchtigen. Betroffen ist die Plattform nur, wenn biprws auf unterstützten Webanwendungsservern außer dem WACS-Server implementiert ist.


(CVSS 8,0) CA-EPC 3523541 [CVE-2022-23302] Mehrere Schwachstellen in SAP Enterprise Project Connection SAP Enterprise Project Connection verwendet Versionen von Spring-Framework- und Log4j-Open-Source-Bibliotheken, die anfällig für im SAP-Sicherheitshinweis genannten CVEs sein können.


(CVSS 7,7) BI-RA-WBI-BE 3478615 [CVE-2024-37179] Schwachstelle mit Blick auf unsicheren Dateibetrieb in SAP-BusinessObjects-Business-Intelligence-Plattform (Web Intelligence) Ein authentifizierter Benutzer kann in der SAP-BusinessObjects-Business-Intelligence-Plattform eine speziell gestaltete Anforderung an den Web Intelligence Reporting Server senden, um eine beliebige Datei vom Host-Rechner herunterzuladen. Dies beeinträchtigt die Vertraulichkeit der Anwendung erheblich, da die Funktion für den persönlichen Datenprovider keine Einschränkung für die Verzeichnisse hatte, aus denen Daten abgerufen wurden.


Handlungsempfehlungen

Es wird dringend empfohlen, die genannte Hinweise zu prüfen und ggfls. Maßnahmen zu ergreifen. Ob die veröffentlichte Hinweise für die jeweilige Umgebung relevant sind, ist im Einzelfall zu prüfen.


Eine automatisierte, zielgerichtete Bewertung der Relevanz der Hinweise, ist mithilfe des „System Recommendations Service“ möglich.

Sollten Sie dieses Verfahren noch nicht kennen oder nutzen, freuen wir uns, Ihnen dies kurz vorzustellen. Nähere Informationen finden Sie auf unserer Homepage.


Benötigen Sie weitere Informationen, Hilfe bei der Analyse Ihrer Systemlandschaft oder bei der Umsetzung der Patch-Einspielung? Unsere SAP-Experten stehen Ihnen gerne zur Verfügung.  Kontaktieren Sie uns mit Ihrem Anliegen unkompliziert per Mail oder wenden Sie sich telefonisch an uns.


Vereinbaren Sie jetzt online einen Termin mit uns, wir unterstützen gerne.


Melden Sie sich gerne zu unserem monatlichen SAP-Patchday Newsletter an, und erhalten Sie die Informationen direkt in Ihre Inbox.


Ihr entplexit SAP Team



Comments


bottom of page