Am vergangenen Dienstag, den 08. November 2022 war der SAP Security Patch Day f\u00fcr diesen Monat \u2013 insgesamt 14 Hinweise stehen den SAP-Kunden zum Einspielen bereit. Nat\u00fcrlich sind nicht s\u00e4mtliche Hinweise relevant, abh\u00e4ngig von den verwendeten Produkten, Komponenten und Versionen des SAP-Systems. Wie immer berichten wir an dieser Stelle mit der \u201eaufgesetzten HCM-Brille\u201c vom Patchen unserer produktiven SAP HCM Linie. <\/p>\n\n\n\n
Nach dem Herunterladen werden vier Hinweise als einbaubar angezeigt. Auff\u00e4llig ist, dass alle vier sehr zentrale Bausteine des SAP-Systems betreffen, z.B. das UI5 Framework oder das Dateihandling im Transport Management System TMS. Also eigentlich Teile, die gef\u00fchlt bereits \u201egut abgehangen\u201c sein sollten \u2013 dennoch waren die Security Researcher erfolgreich. Die folgenden Hinweise wurden inzwischen in unserem System implementiert: <\/p>\n\n\n\n
Mit CVSS 9.8 hat diese Korrektur ein sehr hohes Risiko und sollte daher zeitnah eingespielt werden. Allerdings handelt es sich nicht um klassische ABAP-Programmkorrekturen, sondern um einen Patch der SAP UI5 Komponente, d.h. das Einspielen kann nicht in der Transaktion SNOTE erfolgen. Das letzte Mal war dies zum Security Patch Day im April 2022 notwendig. Das SAP UI5 Framework bindet selbst weitere Bibliotheken ein, wie z.B. SQlite, die im Rahmen dieses Patches auf den aktuellen Stand gebracht werden. <\/p>\n\n\n\n
Auch dieser Hinweis liegt mit CVSS 8.7 im kritischen Bereich. Korrigiert wird eine sogenannte Directory Traversal Schwachstelle, die es Angreifern erm\u00f6glicht auf Dateien au\u00dferhalb des urspr\u00fcnglich vorgesehenen Pfades zuzugreifen. Im Rahmen der Korrektur wird eine korrekte Validierung der Dateipfade eingef\u00fchrt. Da dadurch die \u201eregul\u00e4ren\u201c Aufrufe unbeeintr\u00e4chtigt und nur die schadhaften herausgefiltert werden, wurde entschieden den Hinweis direkt einzuspielen.\u00a0<\/p>\n\n\n\n
Diese Korrektur bereinigt ein fehlerhaftes Verhalten im Session Management, wodurch manche Sitzungen l\u00e4nger als notwendig beibehalten werden. Auch hier sind keine negativen Auswirkungen zu erwarten und der Hinweis wurde direkt in der Transaktion SNOTE eingespielt. <\/p>\n\n\n\n
Mit den beiden Klassen CL_HTTP_WHITELIST und CL_HTTP_UTIILITY sind zwei zentrale und ABAP-Entwicklern wohl bekannte Klassen Teil dieser Korrektur. <\/p>\n\n\n\n
Setzen wir zum Schluss nochmal die \u201eHCM-Brille<\/strong>\u201c auf: zwar haben wir selbst kein SuccessFactors<\/strong> im Einsatz \u2013 viele unserer Kunden aber schon und dann k\u00f6nnte der Hinweis 3226411<\/strong> interessant werden: er ist mit einem CVSS-Score von 8.1 kritisch und schlie\u00dft eine Sicherheitsl\u00fccke mit der Angreifer in mobilen Szenarien (iOS und Android Endger\u00e4te) Berechtigungspr\u00fcfungen umgehen k\u00f6nnen.\u00a0<\/strong><\/p>\n\n\n\n Das war es an dieser Stelle auch schon wieder. Der n\u00e4chste Patch Day im Dezember beschlie\u00dft die Korrektur-Aktivit\u00e4ten f\u00fcr das Jahr 2022 und wir werden neben dem Blick auf die aktuellen Hinweise auch einen Jahresr\u00fcckblick wagen. <\/p>\n","protected":false},"excerpt":{"rendered":" Am 08. November 2022 war der SAP Security Patch Day f\u00fcr diesen Monat \u2013 insgesamt 14 Hinweise stehen den SAP-Kunden zum Einspielen bereit.<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[14],"tags":[],"class_list":["post-1116","post","type-post","status-publish","format-standard","hentry","category-sap-security-patch-day-de"],"aioseo_notices":[],"acf":[],"_links":{"self":[{"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/posts\/1116","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/comments?post=1116"}],"version-history":[{"count":3,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/posts\/1116\/revisions"}],"predecessor-version":[{"id":1119,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/posts\/1116\/revisions\/1119"}],"wp:attachment":[{"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/media?parent=1116"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/categories?post=1116"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/tags?post=1116"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}