Drei neue hochkritische Sicherheitslücken – bewertet mit dem Common Vulnerability Scoring System größer 9.0 – sind im August von der SAP geschlossenen worden. Beheben Sie diese Schwachstellen und spielen Sie die bereitgestellten Korrekturanleitungen schnellstens in Ihre SAP-Systeme ein!
Die SAP hat im August neue kritische Sicherheitslücken bekanntgegeben:
- 3071984 – Sicherheitslücke beim Dateiupload in SAP Business One [CVE-2021-33698]
- 3072955 – Server-Side-Request-Forgery-Schwachstelle in SAP NetWeaver Development Infrastructure (Component Build Service) [CVE-2021-33690]
- 3078312 – SQL Injection vulnerability in SAP NZDT Row Count Reconciliation [CVE-2021-33701]
Sicherheitslücke beim Dateiupload in SAP Business One [CVE-2021-33698]
SAP Business One ermöglicht einem Benutzer mit Business-Berechtigungen, beliebige Dateien hochzuladen, ohne dass das Dateiformat validiert wird. Die SAP hat das Problem behoben, indem im SAP Business One die Validierung der zugehörigen Parameter verbessert wurde.
Implementieren Sie SAP Business One FP2105 Hotfix1 oder führen Sie ein Upgrade darauf durch.
Quelle: https://launchpad.support.sap.com/#/notes/3071984
Server-Side-Request-Forgery-Schwachstelle in SAP NetWeaver Development Infrastructure (Component Build Service) [CVE-2021-33690]
Im Component Build Service der SAP NetWeaver Development Infrastructure (NWDI) ist eine serverseitige Request Forgery gefunden worden.
Der Component Build Service der SAP NetWeaver Development Infrastructure gibt einem Threat Actor mit Serverzugriff die Möglichkeit, Proxy-Angriffe auf den Server durchzuführen, indem er gezielte Abfragen sendet. Dadurch könnte der Threat Actor sensible Daten, die sich auf dem Server befinden, vollständig kompromittieren und die Verfügbarkeit beeinträchtigen. Das entsprechende Servlet ist aus dem produktiven Quelltext entfernt worden.
Spielen Sie die Support Packages und Patches ein, auf die die SAP in dieser Aufforderung hinweist.
Quelle: https://launchpad.support.sap.com/#/notes/3072955
*Anmerkung: Die Auswirkungen der Schwachstelle hängen davon ab, ob Sie die SAP NetWeaver Development Infrastructure im Intranet oder Internet ausführen. Der hohe CVSS-Wert spiegelt die Konsequenzen wider, die sich aus dem schlimmsten Fall – bei der Ausführung im Internet – ergeben.
SQL Injection Schwachstelle in SAP NZDT Row Count Reconciliation [CVE-2021-33701]
Ein SAP DMIS Mobile Plug-In und SAP S/4HANA User, mit Zugriffsrechten auf ein hochprivilegiertes Konto, kann eine manipulierte Abfrage im NZDT-Tool ausführen, um Zugriff auf die Backend-Datenbank zu erhalten.
Um die Sicherheitslücke zu beheben, ist die Implementierung der Korrekturanweisung über die Transaktion SNOTE notwendig.
Quelle: https://launchpad.support.sap.com/#/notes/3078312
Weitere OSS-Notes: