März Security Patch Day: Tote Hose für unser HCM – oder doch nicht?
Nachdem der Februar Security Patch Day viele Aktivitäten (SAP-Kernel und SAP-Webdispatcher Update, Upgrade des SAP Business Client, etc.) beinhaltete, scheint die Liste an Security Notes für den März zunächst überschaubar zu sein: insgesamt 12 neue und 4 aktualisierte Hinweise. Die drei Hinweise mit der höchsten Bewertung von CVSS = 10 sind inzwischen alte Bekannte: es werden Updates zu den Korrekturen für die Schwachstellen log4j und ICMAD geliefert.
Wie immer wollen wir aber in diesem Blog auf diese Liste durch die Brille unseres eigenen, produktiven SAP HCM-Systems blicken. Nachdem wir bereits im Februar ein Update des SAP-Kernels ausgeführt haben und im System keine Komponenten sind, die log4j verwenden, entstehen im Bereich der maximalen Kritikalität im März keine weiteren Aktivitäten (Anmerkung: geprüft haben wir die Hinweistexte trotzdem noch einmal).
Eingespielte Hinweise
Nach dem Herunterladen der Security Notes in der Transaktion SNOTE erwies sich nur ein Hinweis als relevant und einbaubar für unser HCM System:
- 3149805 – [CVE-2022-26101] Cross-Site Scripting (XSS) vulnerability in SAP Fiori launchpad
Fiori Launchpad betroffen
Zwar waren in den letzten Monaten immer wieder Hinweise enthalten, die wir eingespielt haben – dennoch ist der Hinweis 3149805 etwas Besonderes: neben der hohen Kritikalität (CVSS = 8.2) ist die betroffene Komponente in unserem System aktiv in Verwendung! Wenig verwunderlich, wenn man überlegt, dass das SAP Fiori Launchpad der zentrale Einstiegspunkt für Fiori-basierte Anwendungen ist.
Daher haben wir die enthaltenen Korrekturanleitungen vor dem Einbau etwas genauer analysiert: die korrekte Gegenmaßnahme für Cross-Site Scripting (XSS, CSS) Schwachstellen ist allgemein ein passendes Output-Encoding einzubauen. Dadurch wird vermieden, dass Angreifer Teile Ihrer Eingaben so gestalten, dass sie in folgenden Programmschritten als Teil der Ablauflogik interpretiert werden. Fehlerquellen beim Korrigieren dieser Schwachstellen sind beispielweise, dass ein falsches Encoding gewählt wird oder dass eine Input-Validierung anstelle des Encodings implementiert wird. Beides ist hier nicht der Fall und die im Hinweis beschriebene Korrektur stellt eine korrekte Gegenmaßnahme dar.
Mehr noch: solche Schwachstellen, die über ein Output-Encoding mitigiert werden, benötigen in der Regel keinen bzw. nur einen minimalen funktionalen Nachtest. Der automatische Einbau war problemlos und das Fiori-Launchpad sowie die Anwendungen laufen unbeeinträchtigt!
Aufgrund der exponierten, zentralen Position des SAP Fiori Launchpad und damit verbundenen weiten Verbreitung, empfehlen wir dringend, den Hinweis 3149805 zeitnah einzuspielen.
Das war es für diesen Monat – wir berichten in einem Monat an dieser Stelle wieder über den SAP Security Patch Day aus dem April.