„Patch in May or go away”
… so müsste eine alte Börsenweisheit lauten, wenn man sie auf die Sicherheit von IT-Systemen adaptieren möchte: kontinuierliches Patchen ist eine Pflicht, wenn man dieses Ziel ernsthaft verfolgt. Dementsprechend haben wir uns auch diesen Monat die Liste der Hinweise angesehen, welche die SAP als „SAP Security Patch Day – May 2022“ veröffentlicht hat.
Insgesamt stehen 14 Hinweise auf der Liste, die wir – wie immer – aus dem Blickwinkel unseres eigenen SAP HCM Systems analysieren wollen.
Updates zu SAP Security Notes aus den Vormonaten zu „Spring4Shell“
Angeführt werden die Korrekturen von vier Hinweisen (3170990, 3189409, 3171258, 3189635) zum Thema Spring Framework – zum Teil handelt es sich auch um Aktualisierungen aus dem letzten Monat. Nach dem Herunterladen in den Note Assistent (SNOTE) werden diese als „nicht einbaubar“ bewertet.
Da die zugrunde liegenden Schwachstellen jedoch mit fast maximaler Kritikalität bewertet wurden (CVSS Score = 9.8) empfiehlt sich dennoch ein Blick in den Hinweis. Zum einen zur Prüfung, ob eventuell manuelle Tätigkeiten wie das Installieren von Support Packages notwendig sind (s. aus dem Vormonat der UI5-Framework Patch in 3126557). Zum anderen referenzieren diese Hinweise in der Regel auf andere, die man dann nochmal herunterladen muss – s. Hinweis 3170990). Bezogen auf unser HCM-System ergeben sich jedoch keine notwendigen Aktivitäten.
Einspielbare Hinweise
Insgesamt waren 5 Hinweise in unserem HCM-System in der SNOTE problemlos einbaubar. Zum einen, weil Schwachstellen wir Cross Site Scripting adressiert wurden, deren Korrektur rein technisch ist und keinen Nachtest erfordert (3124994, 3146336). Die Hinweise zu fehlenden Berechtigungsprüfungen können in unserer Umgebung sofort implementiert werden (3165801).
Information Disclosure in HCM Employee Self Services
Ein anderer Aspekt ist die Frage, ob das betroffene Modul überhaupt verwendet wird (wenn nein, kann man direkt einspielen). Ein klares „Ja“ ist aber die Antwort auf diese Frage, wenn es um Hinweis 3164677 Information Disclosure vulnerability in SAP Employee Self Service (Fiori My Leave Request) geht. Denn ESS Szenarien werden bei uns intensiv genutzt.
Im Hinweis-Text heißt es: „Aufgrund einer unzureichenden Eingabevalidierung ermöglicht SAP Employee Self-Service einem authentifizierten Angreifer mit Benutzerberechtigungen das Ändern der Mitarbeiternummer. Nach erfolgreicher Ausnutzung kann der Angreifer persönliche Details anderer Benutzer anzeigen, was zu einem gewissen Grad die Vertraulichkeit der Anwendung beeinträchtigt.“.
Zwar wird hier nicht benannt, welche Daten konkret einsehbar sind – aber bei der Fiori-App „Meine Abwesenheitsanträge“ sind mit Sicherheit personenbezogene Daten betroffen. Das steht im Wiederspruch zur Anforderung der Zugriffskontrolle im Sinne der DSGVO. Daher haben wir, nach Rücksprache mit den Applikationsverantwortlichen und einer Sichtung der Korrektur, auch diesen Patch sofort eingespielt.
Damit endet unser Blog über die Patch-Aktivitäten im Mai – wir melden uns in vier Wochen an dieser Stelle wieder.