![\"SAST](\"https:\/\/sast-solutions.de\/blog-de\/wp-content\/uploads\/2020\/11\/security-5043368_640-002-300x179.jpg\")
Drei hochkritische Sicherheitsl\u00fccken, bewertet mit dem Common Vulnerability Scoring System auf \u00fcber 9.0, sind zum SAP Patchday geschlossenen worden. Spielen Sie die bereitgestellten Korrekturanleitungen so schnell wie m\u00f6glich in Ihre SAP-Systeme ein und beheben Sie die Schwachstellen!<\/p>\n
<\/p>\n
<\/p>\n
Sicherheitsupdates f\u00fcr Browser-Control Google Chromium in SAP Business Client stehen ebenfalls zur Installation bereit.<\/p>\n
<\/p>\n
Code-Injection-Schwachstelle in SAP Manufacturing Integration and Intelligence [CVE-2021-21480<\/a>]<\/strong><\/p>\n Mit SAP MII k\u00f6nnen Benutzer Dashboards anlegen und diese \u00fcber die SSCE (Self Service Composition Environment) als JSP (Java Server Pages) sichern. Ein Angreifer hat dann die M\u00f6glichkeit, eine Anfrage an den Server abzufangen, sch\u00e4dlichen JSP-Code in die Anfrage einzuschleusen und sie danach an den Server weiterzuleiten. Sobald Benutzern, die mindestens \u00fcber die Rolle SAP_XMII_Developer verf\u00fcgen, dieses Dashboard \u00f6ffnen, spielt sich darin der sch\u00e4dliche Inhalt aus. Das f\u00fchrt zu einer Remote-Code-Execution auf dem Server. Der sch\u00e4dliche JSP-Code kann bestimmte Betriebssystembefehle enthalten, \u00fcber die ein Angreifer sensible Dateien auf dem Server lesen, \u00e4ndern oder auch l\u00f6schen kann.<\/p>\n Betroffen sind die XMII Komponentenversionen 15.1 bis 15.4.<\/strong><\/p>\n Spielen Sie auf diesen Systemen den Security Note ein, somit wird die M\u00f6glichkeit f\u00fcr das Schreiben einer JSP-Datei \u00fcber den SSCE unterbunden.<\/p>\n Quelle: https:\/\/launchpad.support.sap.com\/#\/notes\/3022622<\/a><\/p>\n <\/p>\n Fehlende Berechtigungspr\u00fcfung in SAP NetWeaver AS JAVA (MigrationService) [CVE-2021-21481<\/a>]<\/strong><\/p>\n Im Migration Service wird keine Berechtigungspr\u00fcfung durchgef\u00fchrt, wodurch nicht autorisierte Benutzer Zugriff auf Konfigurationsobjekte erlangen k\u00f6nnten. Um diese Sicherheitsl\u00fccke zu beheben, spielen Sie eine neue Version von J2EE-APPS.SCA ein und starten Sie das System nach dem Patchen neu. Alternativ k\u00f6nnen Sie mithilfe der Note 3030298 eine tempor\u00e4re L\u00f6sung ohne zwingenden Neustart implementieren, diese L\u00f6sung dient jedoch nicht als endg\u00fcltige Ma\u00dfnahme.<\/p>\n Quelle: https:\/\/launchpad.support.sap.com\/#\/notes\/3022422<\/a><\/p>\n <\/p>\n Fehlende Berechtigungspr\u00fcfung in SAP Solution Manager [CVE-2020-6207<\/a>]<\/strong><\/p>\n Auf GitHub wurde vor kurzem ein Skript ver\u00f6ffentlicht, mit welchem gepr\u00fcft werden kann, ob die Schwachstelle [CVE-2020-6207] auf den eigenen Systemen ausnutzbar ist. Dieses Skript k\u00f6nnte von Angreifern modifiziert und f\u00fcr Angriffe verwendet werden. Denkbar ist die Durchf\u00fchrung eines Remote-Code-Execution Angriffs aus dem internen Netzwerk. Die Sicherheitsl\u00fccke wurde von der SAP bereits mit einem Patch im letzten Jahr behoben.<\/p>\n Das Problem ist jedoch weiterhin f\u00fcr alle Kunden relevant, die SAP Solution Manager 7.2 mit einem Support-Package-Level niedriger als SP12 verwenden.<\/strong><\/p>\n Um die Schwachstelle auf Ihren Systemen zu beheben, sollten Sie unbedingt den jeweiligen Patch f\u00fcr Ihren SP-Level einspielen.<\/p>\n Zuvor sind gegebenenfalls noch folgende Aktivit\u00e4ten durchzuf\u00fchren:<\/p>\n Quellen:<\/p>\n https:\/\/launchpad.support.sap.com\/#\/notes\/2890213<\/a><\/p>\n\n
\n