Mai – Die Suche nach dem bösen Zeichen
Im Rahmen des SAP Security Patch Day für den Monat Mai wurden insgesamt 25 Hinweise neu veröffentlicht oder aktualisiert. Nach Herunterladen und prüfen der Komponenten zeigt sich, dass lediglich drei davon für unser HCM-System relevant und einbaubar sind.
Der Hinweis 33262101 adressiert unter Schwachstellen-Nummer CVE-2023-30743 Improper Neutralization of Input in SAPUI5. Die beschriebene Korrekturmaßnahme ist simpel: spielen Sie den neuesten Patch für SAPUI5 ein – was letzten Endes ein Austausch bzw. Upload von Dateien ins System darstellt. Bei dieser Korrektur ist dadurch die tiefere Analyse der Schwachstelle und der angewandten Korrektur nicht möglich.
Die beiden Hinweise 33159712 und 33159793 (Schwachstellen-Nummer CVE-2023-30742 und CVE-2023-29188) thematisieren ein mögliches Cross-Site Scripting (XSS) in der Anwendung SAP CRM WebClient UI. XSS – da war doch was? Richtig: Hinweis 3293786 betraf auch diese Schwachstellenart; und damals ging um den Vergleich zwischen Input Validation und Output Encoding.
Der reinen Lehre nach soll als Gegenmaßnahme für XSS ein Output Encoding – als kontextspezifisches Anpassen von technisch relevanten Zeichen eingebaut werden. Sie kennen das vielleicht, wenn aus dem Ausdruck Hello World<> entweder Hello World<> (bei HTML-Inhalten) oder Hello%20World%3C%3E (bei URLs) entsteht. Eine solche Konvertierung wird in ABAP-Programmen z.B. über den Befehl ESCAPE erreicht.
Die o.g. Hinweise führen jedoch eine Art Input Validation durch, indem kritische Zeichen für einen XSS-Angriff herausgefiltert werden:
Prinzipiell kann eine solche Filterung auch zum Erfolg führen – die Herausforderung besteht darin, die Filter vollständig zu gestalten und auch alle kritischen Zeichen zu erwischen: was ist z.B. mit dem “‘“ (single quotation mark) anstelle der Anführungszeichen? Der Kreativität der Angreifer ist keine Grenze gesetzt – Tipp: mal nach dem Stichwort „XSS Cheat Sheet“ googeln.
Da aber in jedem Fall durch die Validierung die Sicherheit gesteigert wird und keine funktionalen Defizite möglich sind, wurden die Hinweise (problemlos) eingebaut.
Bis zum nächsten Mal, wenn wir uns zum Juni Patch Day melden!
[1] https://launchpad.support.sap.com/#/notes/3326210
[2] https://launchpad.support.sap.com/#/notes/3315971