Newsletter

SAP Security Patch Day 07/2023

Läuft wie geschmiert… (mit IS-OIL)

“SAP Security Patch Day im Juli mit 18 neuen Security Notes – zwei davon einspielbar in unserem HCM System” – so die knackige Zusammenfassung für unser HCM-System. In der näheren Betrachtung sind die folgenden Hinweise interessant:

  • 33502971: Hier wird eine sogenannte OS Command Injection bereinigt, welche über einen Kernel-Aufruf mit dem Kommando CALL ‘SYSTEM‘ funktioniert. Dabei wird es Angreifern ermöglicht, Betriebssystemkommandos auf dem Applikationsserver abzusetzen. In der Konsequenz steht sowohl die Datenintegrität also auch die Systemverfügbarkeit komplett auf dem Spiel – daher ist die Schwachstelle auch zurecht mit einem CVSS von 9,1 versehen.
    Wichtig: der Quellcode gehört zur Industrie-Lösung IS-OIL und ist somit fachlich für unsere HCM-Prozesse nicht relevant. Aber: Der Quellcode ist dennoch im System – oft aus historischen Gründen. Und nur das ist für den Angreifer wichtig: er ist ausführbar! Daher gilt: unbedingt patchen.
  • 33514102: in diesem Hinweis wird ein Funktionsbaustein stillgelegt (= Quellcode auskommentiert), der einen manipulierenden Zugriff auf das SAP System Log gewährt. Und wiederum interessant: der Funktionsbaustein liegt in der Industrielösung für Defense Forces – hat also mit dem HCM nichts zu tun – ausnutzbar ist er aber dennoch!
    Aus Sicht des Patch-Betreibenden bedeutet es aber: einfach einspielen, kein weitere Testaufwand zu erwarten!
  •  32338993 and 33407354: Diese beiden Hinweise adressieren Schwachstellen im SAP Web Dispatcher bzw. im ICM Modul des SAP NetWeaver Application Server ABAP, z.T. mit kritischem CVSS von 8,6.
    Hier zeigt sich: auch wenn die Transaktion SNOTE signalisiert, dass der Hinweis nicht einzuspielen ist, sollte man bei den hoch priorisierten Hinweisen dennoch die Texte lesen. So wird durch die o.g. Hinweise möglicherweise ein Einspielen eines SAP Kernel Patch erforderlich (In unserem HCM System nicht, da wir schon „neu“ genug sind).

Mit der Empfehlung „immer wieder über den Tellerrand zu sehen“ endet die Beschreibung unserer Patch-Aktivitäten für den Juli! Kommen Sie gut durch die Hitze!


[1] 3350297 – [CVE-2023-36922] BS-Befehl-Injection-Schwachstelle in SAP ECC und SAP S/4HANA (IS-OIL) – SAP for Me

[2] 3351410 – [CVE-2023-36924] Protokoll-Injection-Schwachstelle in SAP ERP Defense Forces and Public Security – SAP for Me

[3] https://me.sap.com/notes/3233899

[4] 3340735 – [CVE-2023-35871] Speicherbeschädigungsschwachstelle in SAP Web Dispatcher – SAP for Me