Aus aktuellem Anlass möchten wir auf folgende SAP HotNews hinweisen, die im Rahmen der monatlichen SAP Security Patch Days für Januar 2021 vorgestellt wurden.
SAP Security HotNews Januar 2021
Das sind die fünf SAP HotNews für Januar 2021
Note# | Title | Priority | CVSS |
2622660 | Update to security note released on April 2018 Patch Day: Security updates for the browser control Google Chromium delivered with SAP Business Client Product – SAP Business Client, Version – 6.5 |
Hot News | 10 |
2986980 | [CVE-2021-21465] Multiple vulnerabilities in SAP Business Warehouse (Database Interface) Additional CVE – CVE-2021-21468 Product – SAP Business Warehouse, Versions – 710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755, 782 |
Hot News | 9.9 |
2999854 | [CVE-2021-21466] Code Injection in SAP Business Warehouse and SAP BW/4HANA Product – SAP Business Warehouse, Versions – 700, 701, 702, 711, 730, 731, 740, 750, 782 Product – SAP BW4HANA, Versions – 100, 200 |
Hot News | 9.9 |
2983367 | Update to security note released on December 2020 Patch Day: [CVE-2020-26838] Code Injection vulnerability in SAP Business Warehouse (Master Data Management) and SAP BW4HANA Product – SAP Business Warehouse, Versions – 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 782 Product – SAP BW4HANA, Versions – 100, 200 |
Hot News | 9.1 |
2979062 | Update to security note released on November 2020 Patch Day: [CVE-2020-26820] Privilege escalation in SAP NetWeaver Application Server for Java (UDDI Server) Product – SAP NetWeaver AS JAVA, Versions – 7.20, 7.30, 7.31, 7.40, 7.50 |
Hot News | 9.1 |
Besondere Aufmerksamkeit gilt den SAP HotNews 2986980 und 2999854
Diese beiden SAP HotNews stechen aufgrund ihrer Kritikalität (CVSS Score 9.9 von 10) und auch durch die davon betroffenen Systeme hervor:
- 2986980 – [CVE-2021-21465] Mehrere Schwachstellen in SAP Business Warehouse (Datenbankschnittstelle)
Symptom:UPDATE 26. Januar 2021: Dieser Hinweis wurde mit aktualisierten Informationen zu ‚Gültigkeit‘ und ‚Support Packages & Patches‘ erneut freigegeben. Die Gültigkeit für alle abgedeckten Quelltextzeilen wurde auf den niedrigsten möglichen SP-Level erweitert.
Die BW-Datenbankschnittstelle ermöglicht es einem Angreifer mit niedrigen Berechtigungen, alle erstellten Datenbankabfragen auszuführen und die Backend-Datenbank zu exponieren. Ein Angreifer kann eigene SQL-Befehle einbinden, die von der Datenbank ausgeführt werden, ohne dass die nicht vertrauenswürdigen Daten ordnungsgemäß bereinigt werden. Dies führt zu einer SQL-Injection-Schwachstelle, die das betroffene SAP-System vollständig gefährden kann. - 2999854 – [CVE-2021-21466] Code Injection in SAP Business Warehouse und SAP BW/4HANA
Symptom:SAP Business Warehouse und SAP BW/4HANA ermöglichen es einem Angreifer mit wenigen Berechtigungen, Code über einen remote-fähigen Funktionsbaustein über das Netzwerk einzuschleusen. Aufgrund einer fehlenden Eingabevalidierung kann ein Angreifer, dem Zugriff (S_RFC) zum Ausführen des Funktionsbausteins gewährt wurde, schädlichen ABAP-Code einschleusen, der persistent in einem Report im ABAP Repository gespeichert wird. Dieser Report kann dann ausgeführt werden, was zu einer Code-Injection-Schwachstelle führt, die zu einem Verlust sensibler Daten, einer Modifikation kritischer Daten und sogar zu einem Denial-of-Service führen kann.
Beide SAP Notes haben jeweils eine verlinkte Q&A SAP Note (3005196 & 3006112), worin die meist gestellten Fragen beantwortet werden, wie z.B.:
Frage 1: Welche Kunden sind betroffen?
Antwort: Betroffen sind alle Kunden von SAP, die die Softwarekomponente SAP BW oder SAP BW/4HANA installiert haben.
Dies bedeutet, dass folglich jedes ABAP System betroffen ist, welches eine SAP_BW Komponente enthält (z.B. SAP ERP, SAP BW, SAP Solution Manager, usw.).
Um das Problem zu beheben empfiehlt die SAP, die jeweils beigefügte Korrekturanleitung oder das entsprechende Support Package einzuspielen.
Gerne unterstützen wie Sie bei diesem Vorhaben. Eröffnen Sie hierzu ein Ticket unter der Vertragsart AMS mit dem Hinweis auf die oben benannten SAP HotNews (Komponente BW-BEX-OT-DBIF bzw. BW-WHM-DST-DBC).
Bleiben sie auf dem Laufenden
Abonnieren Sie unseren SAP Security Newsletter und erhalten Sie monatlich die aktuellen SAP Security Notes der SAP.
In Ergänzung zum SAP Security Newsletter bieten wir zudem eine erweiterte Unterstützung/Dienstleistungen an:
- Prüfung, welche der Hinweise aus dem Newsletter für Ihre konkrete Systemlandschaft relevant sind
- Umsetzung der relevanten Hinweise in Ihrer Systemlandschaft
Weitere Informationen zum Thema IT-Sicherheit, SAP Security Portfolio und wie wir Sie hierbei unterstützen können, finden Sie in folgenden Blogeinträgen:
Modernes SAP Security Portfolio – die Anforderungen unserer Kunden
Die Sicherheit der SAP-Landschaft ist ein nicht zu unterschätzender Faktor
Wenn Sie Fragen haben oder weitere Informationen benötigen, sprechen Sie gerne Ihren Service Delivery Manager (SDM), das Service Desk Team oder das Managed Services BC /BW Team an.
-von Vi Sung Bui, Head of Team BC Unit 1, Managed Services Germany –
E-Mail: [email protected]