Und wieder Cross-Site-Scripting…
Bei der Betrachtung des SAP Security Patch Day für den Juni sind 13 Hinweise zu bearbeiten (8 neue, 5 aktualisierte), vier davon haben eine hohe Priorität: der CVSS-Wert variiert von 8.8 zu 2.7 (von maximal 10).
Für unser SAP NetWeaver-basiertes HCM-System und deren enthaltene Komponenten wurden die folgenden Hinweise bearbeitet:
- Hinweis 33242851 (CVSS Wert 8.2) und Hinweis 33262102 (CVSS Wert 7.1) adressieren Cross-Site-Scripting Schwachstellen im SAPUI5-Framework. Die Korrektur erfordert, dass das SAPUI5-Framework auf den aktuellen Patch-Stand gebracht wird. Zu beachten ist, dass dies nicht wie bei anderen ABAP-basierten Hinweisen nicht in der Transaktion SNOTE erfolgt. Die notwendigen Schritte sind in Hinweis 31559483 beschrieben.
- Hinweis 33228004 (CVSS Wert 6.1) ist eine Aktualisierung zu einem Hinweis, der bereits im Mai5 hier im Blog besprochen wurde. Auch hier ist Cross-Site-Scripting das Thema und nun wird an geeigneter Stelle eine Output Encoding als Gegenmaßnahme eingebaut. Da diese Absicherungen keine Auswirkung auf die Verarbeitung von regulären Eingaben haben können, wurde die betroffene Klasse über den neuen Hinweis aktualisiert.
- Hinweis 33256426 (CVSS Wert 2.7) verhindert einen sogenannte Denial-of-Service Angriff. Technisch wird der problematische Report stillgelegt, indem schlicht der Quellcode auskommentiert wird. Über das Workload Monitoring (Transaktion ST03N) kann validiert werden, ob der Report tatsächlich benutzt wurde. Das ist in unserer Landschaft nicht der Fall, daher konnte der Hinweis problemlos eingebaut werden.
Damit sind wir auch für diesen Monat schon wieder durch – der Juni war wieder ein vergleichsweise einfacher Patchlauf.
————————————–
[2] 3326210 – [CVE-2023-30743] Falsche Neutralisierung der Eingabe in SAPUI5 – SAP for Me
[3] 3155948 – Aktualisierung der ABAP-SAPUI5-Patch-Version – SAP for Me