{"id":693,"date":"2022-02-11T12:29:34","date_gmt":"2022-02-11T11:29:34","guid":{"rendered":"https:\/\/smartersec.com\/?p=693"},"modified":"2024-01-29T11:00:07","modified_gmt":"2024-01-29T10:00:07","slug":"sap-security-patch-day-02-2022","status":"publish","type":"post","link":"https:\/\/smartersec.com\/de\/sap-security-patch-day-02-2022\/","title":{"rendered":"SAP Security Patch Day 02\/2022"},"content":{"rendered":"\n<h2 class=\"wp-block-heading\" id=\"sap-security-patch-day-02-2022-fur-jeden-was-dabei\">SAP Security Patch Day 02\/2022 \u2013 f\u00fcr jeden was dabei! <\/h2>\n\n\n\n<p>Der SAP Security&nbsp;Patch Day&nbsp;des Februar 2022&nbsp;war einmal&nbsp;mehr recht&nbsp;umfangreich: allein 7 Hinweise mit der h\u00f6chsten Risikobewertung (CVSS-Score=10). Dar\u00fcber hinaus sind weitere kritisch bewertete Korrekturen (mit CVSS-Score 9,1 oder 8,7) finden sich auf der&nbsp;am Dienstag ver\u00f6ffentlichten Liste.<sup><a href=\"https:\/\/wiki.scn.sap.com\/wiki\/display\/PSR\/SAP+Security+Patch+Day+-+February+2022\">1<\/a><\/sup><\/p>\n\n\n\n<p>Wie immer wollen wir in diesem Blog berichten, wie wir die SAP Security Notes auf unser eigenes, produktives SAP HCM System anwenden.&nbsp;Durch den&nbsp;Upload mit der Transaktion SNOTE&nbsp;wird automatisch gepr\u00fcft, ob einspielbare Korrekturen enthalten sind. Insbesondere bei sehr hoch priorisierten Hinweisen untersuchen wir&nbsp;den Hinweis trotzdem zus\u00e4tzlich manuell, um zu pr\u00fcfen, ob weitere&nbsp;Aktivit\u00e4ten notwendig sind.&nbsp;<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"sap-kernel-patch-notwendig\">SAP-Kernel Patch notwendig&nbsp;<\/h3>\n\n\n\n<p>Dies ist auch gleich beim ersten Hinweis&nbsp;(3123396)&nbsp;der Fall, welcher die Schwachstelle mit der offiziellen Nummer&nbsp;CVE-2022-22536<sup><a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2022-22536\">2<\/a><\/sup>&nbsp;&nbsp;und einer Bewertung von CVSS=10&nbsp;adressiert.&nbsp;Der&nbsp;SAP ICM&nbsp;ist&nbsp;ungepatched&nbsp;f\u00fcr ein sogenanntes Request&nbsp;Smuggling&nbsp;anf\u00e4llig&nbsp;\u2013 diese Sicherheitsl\u00fccke wurde auf den Namen \u201eICMAD\u201c getauft.&nbsp;Auch Beh\u00f6rden&nbsp;wie das US&nbsp;DHS CISA<sup><a href=\"https:\/\/www.cisa.gov\/uscert\/ncas\/current-activity\/2022\/02\/08\/critical-vulnerabilities-affecting-sap-applications-employing\">3<\/a><\/sup>&nbsp;oder die SAP<sup><a href=\"https:\/\/www.cisa.gov\/uscert\/ncas\/current-activity\/2022\/02\/08\/critical-vulnerabilities-affecting-sap-applications-employing\">4<\/a><\/sup>&nbsp;selbst weisen auf die besondere Kritikalit\u00e4t dieser Schwachstelle hin.&nbsp;<\/p>\n\n\n\n<p>Die Korrektur erfolgt&nbsp;jedoch&nbsp;nicht \u00fcber Anpassungen im ABAP-Quelltext,&nbsp;sondern durch ein Update auf den SAP-Kernel&nbsp;und den SAP-Webdispatcher. Einen entsprechenden Austausch der Kernel-Dateien konnten wir direkt f\u00fcr den Dienstagabend gemeinsam mit unserem SAP-Basis-Team einplanen und umsetzen.&nbsp;<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"sap-business-client\">SAP Business&nbsp;Client&nbsp;<\/h3>\n\n\n\n<p>Der Hinweis&nbsp;2622660&nbsp;wird monatlich aktualisiert und beschreibt&nbsp;welche Patches f\u00fcr den SAP Business Client&nbsp;und das darin enthaltene Chromium&nbsp;PlugIn&nbsp;bereitgestellt wurden. Die konkrete Risikobewertung&nbsp;ist abh\u00e4ngig vom verwendeten Release und bisher eingespielten&nbsp;Patch-Level&nbsp;und variiert dementsprechend&nbsp;\u2013 erreicht aber in einigen F\u00e4llen durchaus den H\u00f6chstwert mit CVSS=10.&nbsp;&nbsp;<\/p>\n\n\n\n<p>Als Gegenma\u00dfnahme muss der SAP Business Client regelm\u00e4\u00dfig auf das letzte verf\u00fcgbare&nbsp;Patch-level&nbsp;gebracht werden. Konsequenz:&nbsp;nach dem Download vom&nbsp;SAP-Support&nbsp;Portal haben&nbsp;wir direkt den Rollout f\u00fcr die Arbeitsplatzumgebungen unserer Mitarbeiter gestartet.&nbsp;<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"log4j-ist-noch-nicht-vorbei\">Log4j ist noch nicht vorbei&nbsp; <\/h3>\n\n\n\n<p>Auch&nbsp;im Februar wird der gr\u00f6\u00dfte Anteil&nbsp;(5 Hinweis)&nbsp;an SAP Security Notes&nbsp;noch von der log4j Schwachstelle<sup><a href=\"https:\/\/smartersec.com\/critical-vulnerability-in-log4j\/\">5<\/a><\/sup>&nbsp;bestimmt.&nbsp;Erw\u00e4hnenswert ist, dass&nbsp;3131047 ein Sammelhinweis ist,&nbsp;der diesen Monat nochmal aktualisiert wurde:&nbsp;zu den 23 bereits im Januar ver\u00f6ffentlichen Hinweise sind im Februar nochmal 18 neue hinzugekommen.&nbsp;Auch hier gilt: Security Notes mit dieser Kritikalit\u00e4t sollten \u2013 auch wenn sie laut Transaktion SNOTE nicht einspielbar sind \u2013 nochmal manuell gepr\u00fcft und gelesen werden. Mit dem Fokus auf unser HCM System ergaben sich allerdings keine weiteren Aktivit\u00e4ten.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"eingespielte-hinweise\">Eingespielte Hinweise&nbsp;<\/h3>\n\n\n\n<p>Drei&nbsp;Security Notes&nbsp;wurden in der&nbsp;Transaktion SNOTE&nbsp;als \u201eautomatisch&nbsp;einspielbar\u201c bewertet:&nbsp;<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>3140587&nbsp;SQL Injection vulnerability in SAP NetWeaver&nbsp;&nbsp;<\/li>\n\n\n\n<li>3124994&nbsp;Cross-Site Scripting (XSS) vulnerability&nbsp;&nbsp;<\/li>\n\n\n\n<li>3126489&nbsp;Missing Authorization check in SAP ERP HCM&nbsp;Product&nbsp;&nbsp;<\/li>\n<\/ul>\n\n\n\n<p>Nach Pr\u00fcfung der Korrekturen wurde entschieden, dass diese direkt ins System \u00fcbernommen werden k\u00f6nnen, da die verwendeten Gegenma\u00dfnahmen (passendes Encoding, zus\u00e4tzliche Berechtigungspr\u00fcfung) kein&nbsp;funktionales Risiko erwarten lassen. Das Einspielen per SNOTE erfolgte problemlos ohne weitere manuelle T\u00e4tigkeiten.&nbsp;<\/p>\n\n\n\n<p>Das war es f\u00fcr diesen Monat \u2013 wir&nbsp;berichten in vier Wochen an dieser Stelle wieder \u00fcber den SAP Security&nbsp;Patch Day&nbsp;aus dem M\u00e4rz.&nbsp;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Der SAP Security\u00a0Patch Day\u00a0des Februar 2022\u00a0war einmal\u00a0mehr recht\u00a0umfangreich: allein 7 Hinweise mit der h\u00f6chsten Risikobewertung (CVSS-Score=10).<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[14],"tags":[],"class_list":["post-693","post","type-post","status-publish","format-standard","hentry","category-sap-security-patch-day-de"],"aioseo_notices":[],"acf":[],"_links":{"self":[{"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/posts\/693","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/comments?post=693"}],"version-history":[{"count":7,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/posts\/693\/revisions"}],"predecessor-version":[{"id":2487,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/posts\/693\/revisions\/2487"}],"wp:attachment":[{"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/media?parent=693"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/categories?post=693"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/tags?post=693"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}