Nachdem der Februar Security Patch Day viele Aktivit\u00e4ten (SAP-Kernel und SAP-Webdispatcher Update, Upgrade des SAP Business Client, etc.) beinhaltete, scheint die Liste an Security Notes f\u00fcr den M\u00e4rz zun\u00e4chst \u00fcberschaubar zu sein: insgesamt 12 neue und 4 aktualisierte Hinweise. Die drei Hinweise mit der h\u00f6chsten Bewertung von CVSS = 10 sind inzwischen alte Bekannte: es werden Updates zu den Korrekturen f\u00fcr die Schwachstellen log4j und ICMAD geliefert.<\/p>\n\n\n\n
Wie immer wollen wir aber in diesem Blog auf diese Liste durch die Brille unseres eigenen, produktiven SAP HCM-Systems blicken. Nachdem wir bereits im Februar ein Update des SAP-Kernels ausgef\u00fchrt haben und im System keine Komponenten sind, die log4j verwenden, entstehen im Bereich der maximalen Kritikalit\u00e4t im M\u00e4rz keine weiteren Aktivit\u00e4ten (Anmerkung: gepr\u00fcft haben wir die Hinweistexte trotzdem noch einmal).<\/p>\n\n\n\n
Nach dem Herunterladen der Security Notes in der Transaktion SNOTE erwies sich nur ein Hinweis als relevant und einbaubar f\u00fcr unser HCM System:<\/p>\n\n\n\n
Zwar waren in den letzten Monaten immer wieder Hinweise enthalten, die wir eingespielt haben – dennoch ist der Hinweis 3149805 etwas Besonderes: neben der hohen Kritikalit\u00e4t (CVSS = 8.2) ist die betroffene Komponente in unserem System aktiv in Verwendung! Wenig verwunderlich, wenn man \u00fcberlegt, dass das SAP Fiori Launchpad der zentrale Einstiegspunkt f\u00fcr Fiori-basierte Anwendungen ist.<\/p>\n\n\n\n
Daher haben wir die enthaltenen Korrekturanleitungen vor dem Einbau etwas genauer analysiert: die korrekte Gegenma\u00dfnahme f\u00fcr Cross-Site Scripting (XSS, CSS) Schwachstellen ist allgemein ein passendes Output-Encoding einzubauen. Dadurch wird vermieden, dass Angreifer Teile Ihrer Eingaben so gestalten, dass sie in folgenden Programmschritten als Teil der Ablauflogik interpretiert werden. Fehlerquellen beim Korrigieren dieser Schwachstellen sind beispielweise, dass ein falsches Encoding gew\u00e4hlt wird oder dass eine Input-Validierung anstelle des Encodings implementiert wird. Beides ist hier nicht der Fall und die im Hinweis beschriebene Korrektur stellt eine korrekte Gegenma\u00dfnahme dar.<\/p>\n\n\n\n
Mehr noch: solche Schwachstellen, die \u00fcber ein Output-Encoding mitigiert werden, ben\u00f6tigen in der Regel keinen bzw. nur einen minimalen funktionalen Nachtest. Der automatische Einbau war problemlos und das Fiori-Launchpad sowie die Anwendungen laufen unbeeintr\u00e4chtigt!<\/p>\n\n\n\n
Aufgrund der exponierten, zentralen Position des SAP Fiori Launchpad und damit verbundenen weiten Verbreitung, empfehlen wir dringend, den Hinweis 3149805 zeitnah einzuspielen.<\/strong><\/p>\n\n\n\n Das war es f\u00fcr diesen Monat \u2013 wir berichten in einem Monat an dieser Stelle wieder \u00fcber den SAP Security Patch Day aus dem April.<\/p>\n","protected":false},"excerpt":{"rendered":" Nachdem der Februar Security Patch Day viele Aktivit\u00e4ten (SAP-Kernel und SAP-Webdispatcher Update, Upgrade des SAP Business Client, etc.) beinhaltete, scheint die Liste an Security Notes f\u00fcr den M\u00e4rz zun\u00e4chst \u00fcberschaubar zu sein: insgesamt 12 neue und 4 aktualisierte Hinweise.<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[14],"tags":[],"class_list":["post-711","post","type-post","status-publish","format-standard","hentry","category-sap-security-patch-day-de"],"aioseo_notices":[],"acf":[],"_links":{"self":[{"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/posts\/711","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/comments?post=711"}],"version-history":[{"count":3,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/posts\/711\/revisions"}],"predecessor-version":[{"id":719,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/posts\/711\/revisions\/719"}],"wp:attachment":[{"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/media?parent=711"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/categories?post=711"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/tags?post=711"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}