{"id":1169,"date":"2023-02-16T09:54:38","date_gmt":"2023-02-16T08:54:38","guid":{"rendered":"https:\/\/smartersec.com\/?p=1169"},"modified":"2023-02-16T09:57:21","modified_gmt":"2023-02-16T08:57:21","slug":"sap-security-patch-day-02-2023","status":"publish","type":"post","link":"https:\/\/smartersec.com\/de\/sap-security-patch-day-02-2023\/","title":{"rendered":"SAP Security Patch Day 02\/2023"},"content":{"rendered":"\n

„Februar 2023 Patch Day\u201c<\/h2>\n\n\n\n

7 x 6,1 = Vergn\u00fcgen beim Hinweis-Einbau! <\/h3>\n\n\n\n

Der zweite Dienstag im Monat \u2013 SAP Security Patch Day: oft bringt er zus\u00e4tzliche Arbeit mit sich. Manchmal l\u00e4uft auch alles \u201ewie am Schn\u00fcrchen\u201c und bringt einen beim Blick in die Korrekturen auch zum Schmunzeln. Dieser Februar war so ein Monat: Seit dem letzten Stichtag wurden insgesamt 26 neue Hinweise ver\u00f6ffentlicht, von denen nach dem Vergleich mit den Komponenten und Support Package St\u00e4nden unseres HCM-Systems sieben einspielbar waren.  <\/p>\n\n\n\n

Den thematischen Schwerpunkt bildeten dabei Schwachstellen aus browser-basierten Applikationen wie Cross Site Scripting (XSS) oder Cross Site Request Forgery (XSRF). Interessant auch, dass diese Hinweise alle mit dem gleichen CVSS-Score von 6,1 bewerten wurden. Aus Sicht der Hinweis-Implementierung sind diese Korrekturen \u201eangenehm\u201c, da die vorgenommenen \u00c4nderungen keine fachlichen Nachtests erforderlich machen. Hier aber auch der erste \u201eSchmunzler\u201c: <\/p>\n\n\n\n

Input Validation vs. Output Encoding <\/h3>\n\n\n\n

In Hinweis 3293786 mit dem Titel \u201e[CVE-2023-23858] Cross-Site-Scripting-Schwachstelle (XSS) in SAP NetWeaver AS\u201c hei\u00dft es:  <\/p>\n\n\n\n

Aufgrund einer unzureichenden Eingabevalidierung erm\u00f6glicht es SAP NetWeaver AS f\u00fcr ABAP und die ABAP-Plattform einem nicht authentifizierten Angreifer, eine gezielte URL an einen Benutzer zu senden.<\/em> <\/p>\n\n\n\n

Vor vielen Jahren habe ich im Training \u201eSichere ABAP Programmierung\u201c gelernt: die Gegenma\u00dfnahme der Wahl gegen XSS-Schwachstellen ist nicht Input Validation, sondern ein entsprechendes Encoding bzw. Escaping einzubauen. Ist also der Inhalt der Korrektur falsch? Nein! Es wird die Funktion ESCAPE verwendet \u2013 nur der Hinweis-Text ist also nicht zu 100% korrekt. <\/p>\n\n\n\n

ABAP Command Injection <\/h3>\n\n\n\n

Der zweite Hinweis, der hier erw\u00e4hnt werden soll, ist 3287291: \u201e[CVE-2023-23854] Fehlende Berechtigungspr\u00fcfung in SAP NetWeaver AS ABAP\u201c. Hier geht es um zwei remote-f\u00e4hige Bausteine, mit denen Programm\u00e4nderungen am ABAP-Code realisiert werden k\u00f6nnen \u2013 also eine klassische \u201eABAP Command Injection\u201c. <\/p>\n\n\n\n

Nach Sichtung des Quelltexts ist unklar, ob die bis dato existierende Absicherung z.B. \u00fcber den Baustein RS_ACCESS_PERMISSION schon ausreichend w\u00e4re. Die im Hinweis gelieferte Korrektur deaktiviert die beiden Funktionsbausteine jedenfalls komplett \u2013 durch ein gut gesetztes EXIT direkt am Beginn des Quelltexts. Gut so!\u00a0 <\/p>\n\n\n\n

Wenn Sie mehr \u00fcber die einzelnen Kategorien von Sicherheits-Schwachstellen in ABAP Code oder das Thema \u201eSichere ABAP Programmierung\u201c erfahren m\u00f6chten, melden Sie Sich gerne bei uns!<\/p>\n","protected":false},"excerpt":{"rendered":"

Der zweite Dienstag im Monat \u2013 SAP Security Patch Day: oft bringt er zus\u00e4tzliche Arbeit mit sich. Manchmal l\u00e4uft auch alles \u201ewie am Schn\u00fcrchen\u201c.<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[14],"tags":[],"class_list":["post-1169","post","type-post","status-publish","format-standard","hentry","category-sap-security-patch-day-de"],"aioseo_notices":[],"acf":[],"_links":{"self":[{"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/posts\/1169","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/comments?post=1169"}],"version-history":[{"count":4,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/posts\/1169\/revisions"}],"predecessor-version":[{"id":1174,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/posts\/1169\/revisions\/1174"}],"wp:attachment":[{"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/media?parent=1169"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/categories?post=1169"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/tags?post=1169"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}