![\"SAST](\"https:\/\/sast-solutions.de\/blog-de\/wp-content\/uploads\/2020\/11\/security-5043368_640-002-300x179.jpg\")
Drei neue hochkritische Sicherheitsl\u00fccken \u2013 bewertet mit dem Common Vulnerability Scoring System gr\u00f6\u00dfer 9.0 \u2013 sind im August von der SAP geschlossenen worden. Beheben Sie diese Schwachstellen und spielen Sie die bereitgestellten Korrekturanleitungen schnellstens in Ihre SAP-Systeme ein!<\/p>\n
<\/p>\n
<\/p>\n
<\/p>\n
Sicherheitsl\u00fccke beim Dateiupload in SAP Business One [CVE-2021-33698]<\/strong><\/p>\n SAP Business One erm\u00f6glicht einem Benutzer mit Business-Berechtigungen, beliebige Dateien hochzuladen, ohne dass das Dateiformat validiert wird. Die SAP hat das Problem behoben, indem im SAP Business One die Validierung der zugeh\u00f6rigen Parameter verbessert wurde.<\/p>\n Implementieren Sie SAP Business One FP2105 Hotfix1 oder f\u00fchren Sie ein Upgrade darauf durch.<\/p>\n Quelle: https:\/\/launchpad.support.sap.com\/#\/notes\/3071984<\/a><\/p>\n \u00a0<\/strong><\/p>\n Server-Side-Request-Forgery-Schwachstelle in SAP NetWeaver Development Infrastructure (Component Build Service) [CVE-2021-33690]<\/strong><\/p>\n Im Component Build Service der SAP NetWeaver Development Infrastructure (NWDI) ist eine serverseitige Request Forgery gefunden worden.<\/p>\n Der Component Build Service der SAP NetWeaver Development Infrastructure gibt einem Threat Actor mit Serverzugriff die M\u00f6glichkeit, Proxy-Angriffe auf den Server durchzuf\u00fchren, indem er gezielte Abfragen sendet. Dadurch k\u00f6nnte der Threat Actor sensible Daten, die sich auf dem Server befinden, vollst\u00e4ndig kompromittieren und die Verf\u00fcgbarkeit beeintr\u00e4chtigen. Das entsprechende Servlet ist aus dem produktiven Quelltext entfernt worden.<\/p>\n Spielen Sie die Support Packages und Patches ein, auf die die SAP in dieser Aufforderung hinweist.<\/p>\n Quelle: https:\/\/launchpad.support.sap.com\/#\/notes\/3072955<\/a><\/p>\n *Anmerkung: Die Auswirkungen der Schwachstelle h\u00e4ngen davon ab, ob Sie die SAP NetWeaver Development Infrastructure im Intranet oder Internet ausf\u00fchren. Der hohe CVSS-Wert spiegelt die Konsequenzen wider, die sich aus dem schlimmsten Fall – bei der Ausf\u00fchrung im Internet – ergeben.<\/p>\n \u00a0<\/strong><\/p>\n SQL Injection Schwachstelle in SAP NZDT Row Count Reconciliation [CVE-2021-33701]<\/strong><\/p>\n Ein SAP DMIS Mobile Plug-In und SAP S\/4HANA User, mit Zugriffsrechten auf ein hochprivilegiertes Konto, kann eine manipulierte Abfrage im NZDT-Tool ausf\u00fchren, um Zugriff auf die Backend-Datenbank zu erhalten.<\/p>\n Um die Sicherheitsl\u00fccke zu beheben, ist die Implementierung der Korrekturanweisung \u00fcber die Transaktion SNOTE notwendig.<\/p>\n Quelle: https:\/\/launchpad.support.sap.com\/#\/notes\/3078312<\/a><\/p>\n <\/p>\nWeitere OSS-Notes:<\/h2>\n