„November 2022 Patch Day“
Am vergangenen Dienstag, den 08. November 2022 war der SAP Security Patch Day für diesen Monat – insgesamt 14 Hinweise stehen den SAP-Kunden zum Einspielen bereit. Natürlich sind nicht sämtliche Hinweise relevant, abhängig von den verwendeten Produkten, Komponenten und Versionen des SAP-Systems. Wie immer berichten wir an dieser Stelle mit der „aufgesetzten HCM-Brille“ vom Patchen unserer produktiven SAP HCM Linie.
Nach dem Herunterladen werden vier Hinweise als einbaubar angezeigt. Auffällig ist, dass alle vier sehr zentrale Bausteine des SAP-Systems betreffen, z.B. das UI5 Framework oder das Dateihandling im Transport Management System TMS. Also eigentlich Teile, die gefühlt bereits „gut abgehangen“ sein sollten – dennoch waren die Security Researcher erfolgreich. Die folgenden Hinweise wurden inzwischen in unserem System implementiert:
- 3249990: [CVE-2021-20223] Multiple Vulnerabilities in SQlite bundled with SAPUI5 (CVSS 9.8)
Mit CVSS 9.8 hat diese Korrektur ein sehr hohes Risiko und sollte daher zeitnah eingespielt werden. Allerdings handelt es sich nicht um klassische ABAP-Programmkorrekturen, sondern um einen Patch der SAP UI5 Komponente, d.h. das Einspielen kann nicht in der Transaktion SNOTE erfolgen. Das letzte Mal war dies zum Security Patch Day im April 2022 notwendig. Das SAP UI5 Framework bindet selbst weitere Bibliotheken ein, wie z.B. SQlite, die im Rahmen dieses Patches auf den aktuellen Stand gebracht werden.
- 3256571: [CVE-2022-41214] Multiple vulnerabilities in SAP NetWeaver Application Server ABAP and ABAP Platform (CVSS 8.7)
Auch dieser Hinweis liegt mit CVSS 8.7 im kritischen Bereich. Korrigiert wird eine sogenannte Directory Traversal Schwachstelle, die es Angreifern ermöglicht auf Dateien außerhalb des ursprünglich vorgesehenen Pfades zuzugreifen. Im Rahmen der Korrektur wird eine korrekte Validierung der Dateipfade eingeführt. Da dadurch die „regulären“ Aufrufe unbeeinträchtigt und nur die schadhaften herausgefiltert werden, wurde entschieden den Hinweis direkt einzuspielen.
- 3218159: Insufficient Session Expiration in Central Fiori Launchpad (CVSS 6.1)
Diese Korrektur bereinigt ein fehlerhaftes Verhalten im Session Management, wodurch manche Sitzungen länger als notwendig beibehalten werden. Auch hier sind keine negativen Auswirkungen zu erwarten und der Hinweis wurde direkt in der Transaktion SNOTE eingespielt.
- 3251202: [CVE-2022-41215] URL Redirection vulnerability in SAP NetWeaver ABAP Server and ABAP Platform (CVSS 4.7)
Mit den beiden Klassen CL_HTTP_WHITELIST und CL_HTTP_UTIILITY sind zwei zentrale und ABAP-Entwicklern wohl bekannte Klassen Teil dieser Korrektur.
Setzen wir zum Schluss nochmal die „HCM-Brille“ auf: zwar haben wir selbst kein SuccessFactors im Einsatz – viele unserer Kunden aber schon und dann könnte der Hinweis 3226411 interessant werden: er ist mit einem CVSS-Score von 8.1 kritisch und schließt eine Sicherheitslücke mit der Angreifer in mobilen Szenarien (iOS und Android Endgeräte) Berechtigungsprüfungen umgehen können.
Das war es an dieser Stelle auch schon wieder. Der nächste Patch Day im Dezember beschließt die Korrektur-Aktivitäten für das Jahr 2022 und wir werden neben dem Blick auf die aktuellen Hinweise auch einen Jahresrückblick wagen.