Aktuelle SAP® Security News - 12/2024

Willkommen zu den aktuellsten SAP Security News. Jeden Monat informiert SAP am Patchday über die neuesten Sicherheitslücken und deren Bewertungen anhand des CVSS (Common Vulnerability Scoring System). Diese Bewertungen reichen von 1 bis 10, wobei 10 die kritischste Stufe darstellt.

Wir möchten Sie hier auf einige aktualisierte Hinweise aufmerksam machen, die einen CVSS-Wert von über 7 aufweisen. Sicherheitslücken können erhebliche Auswirkungen auf Ihr SAP-System haben, da sie Angreifern die Möglichkeit geben, das System zu kompromittieren. Die spezifischen Auswirkungen sind in den jeweiligen SAP-Hinweisen detailliert beschrieben:

(CVSS 9,1) BC-SRV-FP

3536965 [CVE-2024-47578] Mehrere Schwachstellen in SAP NetWeaver AS für JAVA (Adobe Document Services)

Dieser Sicherheitshinweis behandelt mehrere Schwachstellen in Adobe Document Services von SAP NetWeaver AS für JAVA. Im Hinweis finden sich die Details zu den Sicherheitslücken sowie die CVE- und CVSS-relevanten Informationen.

(CVSS 8,5) BC-MID-RFC

3469791 [CVE-2024-54198] Schwachstelle mit Blick auf Offenlegung von Informationen über Remote Function Call (RFC) in SAP NetWeaver Application Server ABAP

Unter bestimmten Bedingungen ermöglicht es SAP NetWeaver Application Server ABAP einem authentifizierten Angreifer, einen Remote-Function-Call-Request (RFC-Request) an eingeschränkte Destinationen zu stellen, mit dem Anmeldeinformationen für einen Remote-Service bereitgestellt werden können. Diese Anmeldeinformationen können dann weiter ausgenutzt werden, um den Remote-Service vollständig zu gefährden, was möglicherweise erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung haben kann.

(CVSS 7,5) BC-ABA-LA

3504390 [CVE-2024-47586] NULL-Pointer-Dereferenz-Schwachstelle in SAP NetWeaver Application Server für ABAP und ABAP-Plattform

Auf SAP NetWeaver Application Server für ABAP und ABAP-Plattform kann ein nicht authentifizierter Angreifer einen in böser Absicht erstellten HTTP-Request senden, der zu einer NullPointer-Dereferenz im Kernel führen kann. Diese Dereferenz führt dazu, dass das System abstürzt und neu gestartet wird, was dazu führt, dass das System vorübergehend nicht verfügbar ist. Das wiederholte Senden dieser Anforderung kann dazu führen, dass die Anwendung vollständig nicht mehr verfügbar ist. Es gibt keine Auswirkungen auf die Vertraulichkeit oder Integrität.

(CVSS 7,2) BC-JAS-ADM-MON

3542543 [CVE-2024-54197] Serverseitige Request Forgery in SAP NetWeaver Administrator (Systemübersicht)

SAP NetWeaver Administrator (Systemübersicht) ermöglicht es einem authentifizierten Angreifer, barrierefreie HTTP-Endpunkte im internen Netzwerk aufzuführen, indem er spezielle HTTP-Requests erstellt. Bei erfolgreicher Ausnutzung kann dies zu einer serverseitigen Request-Forgery (SSRF) führen, die geringe Auswirkungen auf die Integrität und Vertraulichkeit der Daten haben kann. Dies hat keine Auswirkungen auf die Verfügbarkeit der Anwendung.

Handlungsempfehlungen

Es wird dringend empfohlen, die genannten Hinweise zu prüfen und gegebenenfalls Maßnahmen zu ergreifen. Die Relevanz der Hinweise für Ihre spezifische Umgebung sollte im Einzelfall geprüft werden.

Unterstützung und Kontakt

Eine automatisierte und zielgerichtete Bewertung der Relevanz der Hinweise ist mithilfe des „System Recommendations Service“ möglich.

Benötigen Sie mehr Informationen, Hilfe bei der Analyse Ihrer Systemlandschaft oder bei der Umsetzung der Patch-Einspielung? Unser SAP-Experte Carsten Linz steht Ihnen gerne zur Verfügung. Vereinbaren Sie jetzt direkt online einen Termin oder kontaktieren Sie uns unkompliziert per Mail oder telefonisch.

Um auch wirklich kein Update mehr zu verpassen, folgen Sie uns doch auf LinkedIn und melden Sie sich zu unserem monatlichen Patchday-Newsletter an.