{"id":1884,"date":"2023-06-13T12:31:10","date_gmt":"2023-06-13T10:31:10","guid":{"rendered":"https:\/\/smartersec.com\/?p=1884"},"modified":"2023-06-13T12:38:23","modified_gmt":"2023-06-13T10:38:23","slug":"sap-security-patch-day-06-2023","status":"publish","type":"post","link":"https:\/\/smartersec.com\/de\/sap-security-patch-day-06-2023\/","title":{"rendered":"SAP Security Patch Day 06\/2023"},"content":{"rendered":"\n<h2 class=\"wp-block-heading\">Und wieder Cross-Site-Scripting&#8230;<\/h2>\n\n\n\n<p>Bei der Betrachtung des SAP Security Patch Day f\u00fcr den Juni sind 13 Hinweise zu bearbeiten (8 neue, 5 aktualisierte), vier davon haben eine hohe Priorit\u00e4t: der CVSS-Wert variiert von 8.8 zu 2.7 (von maximal 10).<\/p>\n\n\n\n<p>F\u00fcr unser SAP NetWeaver-basiertes HCM-System und deren enthaltene Komponenten wurden die folgenden Hinweise bearbeitet:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Hinweis 3324285<sup>1<\/sup> (CVSS Wert 8.2) und Hinweis 3326210<sup>2<\/sup> (CVSS Wert 7.1) adressieren Cross-Site-Scripting Schwachstellen im SAPUI5-Framework. Die Korrektur erfordert, dass das SAPUI5-Framework auf den aktuellen Patch-Stand gebracht wird. Zu beachten ist, dass dies nicht wie bei anderen ABAP-basierten Hinweisen nicht in der Transaktion SNOTE erfolgt. Die notwendigen Schritte sind in Hinweis 3155948<sup>3<\/sup> beschrieben.<\/li><li>Hinweis 3322800<sup>4<\/sup> (CVSS Wert 6.1) ist eine Aktualisierung zu einem Hinweis, der bereits im Mai<sup>5<\/sup> hier im Blog besprochen wurde. Auch hier ist Cross-Site-Scripting das Thema und nun wird an geeigneter Stelle eine Output Encoding als Gegenma\u00dfnahme eingebaut. Da diese Absicherungen keine Auswirkung auf die Verarbeitung von regul\u00e4ren Eingaben haben k\u00f6nnen, wurde die betroffene Klasse \u00fcber den neuen Hinweis aktualisiert.<\/li><li>Hinweis 3325642<sup>6<\/sup> (CVSS Wert 2.7) verhindert einen sogenannte Denial-of-Service Angriff. Technisch wird der problematische Report stillgelegt, indem schlicht der Quellcode auskommentiert wird. \u00dcber das Workload Monitoring (Transaktion ST03N) kann validiert werden, ob der Report tats\u00e4chlich benutzt wurde. Das ist in unserer Landschaft nicht der Fall, daher konnte der Hinweis problemlos eingebaut werden.<\/li><\/ul>\n\n\n\n<p>Damit sind wir auch f\u00fcr diesen Monat schon wieder durch \u2013 der Juni war wieder ein vergleichsweise einfacher Patchlauf.<\/p>\n\n\n\n<p>&#8212;&#8212;&#8212;&#8212;&#8212;&#8212;&#8212;&#8212;&#8212;&#8212;&#8212;&#8212;&#8211;<\/p>\n\n\n\n<p>[1] <a href=\"https:\/\/me.sap.com\/notes\/3324285\">3324285 &#8211; [CVE-2023-33991] &#8211; Stored-Cross-Site-Scripting-Schwachstelle in SAP UI5 (Variantenverwaltung) &#8211; SAP for Me<\/a><\/p>\n\n\n\n<p>[2] <a href=\"https:\/\/me.sap.com\/notes\/3326210\">3326210 &#8211; [CVE-2023-30743] Falsche Neutralisierung der Eingabe in SAPUI5 &#8211; SAP for Me<\/a><\/p>\n\n\n\n<p>[3] <a href=\"https:\/\/me.sap.com\/notes\/3155948\">3155948 &#8211; Aktualisierung der ABAP-SAPUI5-Patch-Version &#8211; SAP for Me<\/a><\/p>\n\n\n\n<p>[4] <a href=\"https:\/\/me.sap.com\/notes\/3322800\">3322800 &#8211; Aktualisierung 1 zu Sicherheitshinweis 3315971 &#8211; [CVE-2023-30742] Cross-Site-Scripting-Schwachstelle (XSS) in SAP CRM (WebClient UI) &#8211; SAP for Me<\/a><\/p>\n\n\n\n<p>[5] <a href=\"https:\/\/smartersec.com\/de\/sap-security-patch-day-05-2023\/\" title=\"\">SAP Security Patch Day 05\/2023 &#8211; smarterSec<\/a> <\/p>\n\n\n\n<p>[6] <a href=\"https:\/\/me.sap.com\/notes\/3325642\">3325642 &#8211; [CVE-2023-32114] Denial-of-Service in SAP NetWeaver (Change and Transport System) &#8211; SAP for Me<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Mit dem SAP Security Patch Day f\u00fcr den Monat Juni sind 13 neue Hinweise zu bearbeiten. <\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[14],"tags":[],"class_list":["post-1884","post","type-post","status-publish","format-standard","hentry","category-sap-security-patch-day-de"],"aioseo_notices":[],"acf":[],"_links":{"self":[{"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/posts\/1884","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/comments?post=1884"}],"version-history":[{"count":4,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/posts\/1884\/revisions"}],"predecessor-version":[{"id":1890,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/posts\/1884\/revisions\/1890"}],"wp:attachment":[{"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/media?parent=1884"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/categories?post=1884"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/tags?post=1884"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}