SAP Security-Patchday November 2017

An jedem zweiten Dienstag im Monat veröffentlicht die SAP AG sicherheitsrelevante SAP-Hinweise, die Schwachstellen innerhalb der SAP-Software aufzeigen. Seit März 2016 nutzt die SAP hierzu das Common Vulnerability Scoring System – CVSS (wörtlich übersetzt: „Allgemeines Verwundbarkeitsbewertungssystem“) zur Priorisierung der aufgezeigten Schwachstellen und zur transparenten Einordnung der Bedrohung im Vergleich zu vergleichbaren Standards.

Am 14. November 2017 veröffentlichte die SAP AG 22, davon neun aktualisierte, bereits vorher veröffentlichte sicherheitsrelevante Hinweise. Besonders hervorzuheben sind die folgenden Hinweise:

2371726 – Code-Injection-Schwachstelle bei der Textumwandlung

In diesem Hinweis wird eine Schwachstelle bei der Textumwandlung in SAP-Standardtexten beschrieben. Die Textumwandlung, durch die SAP-Standardtexte durch branchenspezifische Texte ersetzt werden können, ermöglicht es einem Angreifer, Code einzuschleusen, der anschließend von der Anwendung ausgeführt wird. Ein Angreifer kann somit das Systemverhalten der Anwendung steuern.

2520772 – Offenlegung von Informationen in LaMa 3.0

Hier wird beschrieben, dass unter bestimmten Bedingungen ein Angreifer, der über die Rechte eines LaMa-Benutzers oder LaMA-J2EE-Datenbankadministrators verfügt, in LaMa 3.0 Kennwörter oder vertrauliche Informationen verwalteter Systeme lesen kann.

2531241 – Offenlegung von Informationen in LVM 2.1 und LaMa 3.0

Auch in diesem Hinweis geht es um eine Sicherheitslücke im Umfeld der Administration von LaMA-J2EE-Datenbanken. Folgende Informationen werden offengelegt:

  • Sichere Parameter, die an benutzerdefinierte Hooks für HANA-Lifecycle-Manager-Operationen mit dem Präfix hdblcm* übertragen werden
  • Sichere Parameter, die an benutzerdefinierte Hooks für Software-Provisioning-Manager-Operationen mit dem Präfix SAPINST_* übertragen werden.

Dadurch kann sich der Angreifer mit Instanzen verbinden, die von SAP HANA Lifecycle Manager und/oder Software Provisioning Manager installiert/modifiziert wurden, denn die Administrationskennwörter gehören zu den sicheren Parametern.

Alle drei genannten Hinweise haben einen CVSS-Score von 9.1!

Sie benötigen Unterstützung bei der Implementierung eines geeigneten Implementierungsprozesses für die SAP Security Patches? Sprechen Sie uns an!