Newsletter

SAP Security Patch Day 01/2023

„Januar 2023 Patch Day“

Für viele, die ihr Arbeitsjahr erst nach dem Ende der Schulferien begonnen haben, geht 2023 direkt mit dem Patch Day los. Zwar wurden seit dem Dezember nur 12 Hinweise veröffentlicht, jedoch 7 mit hoher Priorität (CVSS-Bewertung größer 9).

Der überwiegende Teil der Korrekturen ist für das bei uns vorliegende Setup nicht relevant: in diesem Blog wollen wir über unsere Patching-Aktivitäten am HCM-System berichten, welches ein „klassisches“ SAP NetWeaver AS for ABAP System ist. Dementsprechend werden Hinweise die z.B. SAP BusinessObjects oder den Java-Stack betreffen hier nicht betrachtet. Die Bewertung der Hinweise muss aber immer spezifisch für die konkrete Landschaft getroffen werden und kann für Ihre Systeme zu einer anderen Entscheidung führen.

Zunächst der einfachere Teil: Hinweis 32832831 korrigiert ein Cross-Site Scripting. Korrekturen dieses Typs können in der Regel ohne zusätzlichen Testaufwand übernommen werden. Nach Sichtung der Quelltextänderungen wurde der Hinweis direkt eingespielt.

Korrekturen an zentralem RFC-Mechanismus

Der erste Patch Day des Jahres beinhaltet auch den kritisch bewerteten Hinweis 30894132 (CVSS 9.0), der – sagen wir es mal etwas flapsig – ein „dicker Klopper“ ist:

  • Betroffen sind alle NetWeaver AS for ABAP Versionen von 7.00 – 7.89 sowie verschiedene Stände des SAP Kernel. Man könnte auch sagen: betroffen sind (fast) alle ABAP Stacks!
  • Adressiert wird eine „Capture-Replay“ Schwachstelle im Bereich Trusted-RFC Verbindungen: „Dies kann von böswilligen Benutzern ausgenutzt werden, um unrechtmäßigen Zugriff auf das System zu erhalten.“ [Capture-Replay: wiederabsenden von vorher aufgezeichneten Daten]
  • Trusted-RFC-Verbindungen stellen einen zentrales API in der NetWeaver Architektur dar und werden flächendeckend verwendet. Es ist daher anzunehmen, dass diese Korrektur auch für einen sehr großen Anteil der SAP-Systeme wirklich benötigt wird.
  • Die SAP empfiehlt ausdrücklich, vor dem Einbau des Hinweises eine Sicherung des Systems vorzunehmen.
  • Das Einspielen ist nicht durch den Note Assistant (SNOTE) möglich, da die Korrektur aus mehreren Schritten besteht und zunächst einen Kernel-Update sowie einen ABAP-Patch über die Transaktion SAINT erfordert. Abschließend muss außerdem eine Migration der Verbindungsdaten vorgenommen werden.

Der Hinweis selbst ist durch zahlreiche vorausgesetzte oder verlinkte Hinweise etwas unübersichtlich, daher an dieser Stelle auch der Hinweis auf die Einordnung von Frank Buchholz, SAP in seinem Blog3.

Somit ist auch klar, dass man Hinweis 3089413 nicht „mal eben nebenher“ einbauen kann. Für die System in unserer Landschaft haben wir das Backup und den notwendigen Kernel-Patch für dieses Wochenende eingeplant. Von den weiteren Schritten werden wir an dieser Stelle in einem Update berichten.

Bis dahin wünschen wir: „Happy Patching!“

[1] 3283283 – [CVE-2023-0013] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver AS for ABAP and ABAP Platform – SAP ONE Support Launchpad

[2] 3089413 – [CVE-2023-0014] Schwachstelle bezüglich der Capture-Replay in SAP NetWeaver AS für ABAP und ABAP-Plattform – SAP ONE Support Launchpad

[3] (1) Note 3089413 – Capture-replay vulnerability in SAP NetWeaver AS for ABAP and ABAP Platform – Security and Identity Management – Support Wiki