{"id":2302,"date":"2020-09-14T12:00:53","date_gmt":"2020-09-14T10:00:53","guid":{"rendered":"https:\/\/sast-blog.akquinet.de\/?p=2302"},"modified":"2021-03-23T13:32:13","modified_gmt":"2021-03-23T12:32:13","slug":"code-injection-schwachstelle-schliessen-sie-die-sicherheitsluecke","status":"publish","type":"post","link":"https:\/\/sast-solutions.de\/blog-de\/2020\/09\/14\/code-injection-schwachstelle-schliessen-sie-die-sicherheitsluecke\/","title":{"rendered":"Code-Injection-Schwachstelle im Batch Input Recorder RSBDCREC in SAP NetWeaver (ABAP) und ABAP-Plattform \u2013 Schlie\u00dfen Sie die Sicherheitsl\u00fccke!"},"content":{"rendered":"

\"SASTMit dem Hinweis 2941667 hat die SAP am 08.09.20 eine hoch kritische Schwachstelle im Batch Input Recorder via Direktaufruf von Programm RSBDCREC bekanntgegeben. Hiervon betroffen sind alle Systeme mit SAP-Basis Release 700 bis 755, also auch aktuellere Releases. Reagieren Sie schnell, damit kein sch\u00e4dliches Coding in Ihre SAP-Systeme eindringt!<\/p>\n

<\/p>\n

<\/h2>\n

 <\/p>\n

SAP Security Note 2941667<\/strong><\/h2>\n

Bei der direkten Ausf\u00fchrung des Batch-Input-Recorders (Programm RSBDCREC) erfolgt – ohne das Einspielen der Korrektur – keine Berechtigungspr\u00fcfung<\/strong> mittels Objekt S_BDC_MONI.<\/p>\n

Anders ist es bei Ausf\u00fchrung des Batch-Input-Recorders via Transaktion SHDB. Hier wird das Objekt gepr\u00fcft, womit dies als der sicherere Weg anzusehen ist.<\/p>\n

\u21d2<\/strong> Wir empfehlen Ihnen generell die Verwendung der Transaktion SHDB anstatt der direkten Ausf\u00fchrung des Programms RSBDCREC.<\/p>\n

F\u00fcr Sie bedeutet das, dass Sie unmittelbar betroffen sind, wenn Sie in Ihrem SAP-System den direkten Aufruf von Reports berechtigt haben. Dennoch raten wir Ihnen in jedem Fall die Korrekturanleitung einzuspielen.<\/p>\n

Erh\u00f6htes Risiko durch die Sicherheitsl\u00fccke Code-Injection<\/strong><\/h2>\n

Die Gefahr bei der Verwendung des Programms besteht darin, dass ein Einschleusen von Coding w\u00e4hrend der Aufzeichnung einer Session m\u00f6glich ist. Hierdurch kann sch\u00e4dliches Coding durch die Hintert\u00fcr in Ihr System gelangen. Beispielsweise durch die Anpassung des DSN-Parameters.<\/p>\n

\"SAST<\/p>\n

Schlie\u00dfen Sie die Sicherheitsl\u00fccke und spielen Sie folgende Korrektur so schnell wie m\u00f6glich ein<\/strong><\/h2>\n

Durch eine Ver\u00e4nderung des Verhaltens INSERT REPORT, mithilfe der zentralen API zur Anlage von Entwicklungsobjekten, verhindern Sie ein Einschleusen von Coding.<\/p>\n

Nach dem Einspielen dieser Korrektur wird bei der Verwendung des Programms RSBDCREC das Objekt S_BDC_MONI mit den Parametern ‚BDCAKTI‘ (Wert ‚RSCP‘ und ‚ORCS‘) und ‚BDCGROUPID‘ (mit kundenspezifischem Wert) durchgef\u00fchrt. Im Falle von Quelltexterstellungen wird das Berechtigungsobjekt S_DEVELOP als Mindestberechtigung gepr\u00fcft.<\/p>\n

Unsere Empfehlung f\u00fcr Sie:<\/u> Importieren Sie diese Korrekturanleitung dringendst, um die Sicherheitsl\u00fccke – auch unabh\u00e4ngig von Berechtigungen zum direkten Reportaufruf – zu schlie\u00dfen.<\/p>\n

Ben\u00f6tigen Sie Unterst\u00fctzung beim Einbau der Korrektur oder im Bereich Berechtigungen? Wir sind gerne Ihr Partner und bearbeiten zusammen mit Ihnen diese und weitere m\u00f6gliche Schwachstellen. Informieren Sie sich vorab auf unserer Website<\/a> oder kontaktieren Sie uns<\/a>.<\/p>\n

\"Steffen<\/p>\n

Steffen Maltig (Head of SAP Consulting, SAST SOLUTIONS)<\/strong><\/p>\n

 <\/p>\n

Dieser Artikel k\u00f6nnte Sie auch interessieren:<\/h2>\n

Sicherheitsl\u00fccke im SAP NetWeaver AS Java erm\u00f6glicht Angreifern die volle Kontrolle \u00fcber SAP-Systeme \u2013 Reagieren Sie jetzt!<\/a><\/p><\/blockquote>\n