Image Qualitätsmanagement im SAP ERP

SAP Security HotNews Januar 2021

Aus aktuellem Anlass möchten wir auf folgende SAP HotNews hinweisen, die im Rahmen der monatlichen SAP Security Patch Days für Januar 2021 vorgestellt wurden.

Das sind die fünf SAP HotNews für Januar 2021

Note# Title Priority CVSS
2622660 Update to security note released on April 2018 Patch Day:
Security updates for the browser control Google Chromium
delivered with SAP Business Client

Product – SAP Business Client, Version – 6.5
Hot News 10
2986980 [CVE-2021-21465Multiple vulnerabilities in SAP Business Warehouse (Database Interface)
Additional CVE – CVE-2021-21468
Product – SAP Business Warehouse, Versions – 710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755, 782
Hot News 9.9
2999854 [CVE-2021-21466Code Injection in SAP Business Warehouse and SAP BW/4HANA
Product – SAP Business Warehouse, Versions – 700, 701, 702, 711, 730, 731, 740, 750, 782
Product – SAP BW4HANA, Versions – 100, 200
Hot News 9.9
2983367 Update to security note released on December 2020 Patch Day:
[CVE-2020-26838Code Injection vulnerability in SAP Business Warehouse (Master Data Management) and SAP BW4HANA
Product – SAP Business Warehouse, Versions – 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 782
Product – SAP BW4HANA, Versions – 100, 200
Hot News 9.1
2979062 Update to security note released on November 2020 Patch Day:
[CVE-2020-26820Privilege escalation in SAP NetWeaver Application Server for Java (UDDI Server)
Product – SAP NetWeaver AS JAVA, Versions – 7.20, 7.30, 7.31, 7.40, 7.50
Hot News 9.1

Besondere Aufmerksamkeit gilt den SAP HotNews 2986980 und 2999854

Diese beiden SAP HotNews stechen aufgrund ihrer Kritikalität (CVSS Score 9.9 von 10) und auch durch die davon betroffenen Systeme hervor:

  • 2986980 – [CVE-2021-21465] Mehrere Schwachstellen in SAP Business Warehouse (Datenbankschnittstelle)
    Symptom:UPDATE 26. Januar 2021: Dieser Hinweis wurde mit aktualisierten Informationen zu ‘Gültigkeit’ und ‘Support Packages & Patches’ erneut freigegeben. Die Gültigkeit für alle abgedeckten Quelltextzeilen wurde auf den niedrigsten möglichen SP-Level erweitert.
    Die BW-Datenbankschnittstelle ermöglicht es einem Angreifer mit niedrigen Berechtigungen, alle erstellten Datenbankabfragen auszuführen und die Backend-Datenbank zu exponieren. Ein Angreifer kann eigene SQL-Befehle einbinden, die von der Datenbank ausgeführt werden, ohne dass die nicht vertrauenswürdigen Daten ordnungsgemäß bereinigt werden. Dies führt zu einer SQL-Injection-Schwachstelle, die das betroffene SAP-System vollständig gefährden kann.
  • 2999854 – [CVE-2021-21466] Code Injection in SAP Business Warehouse und SAP BW/4HANA
    Symptom:SAP Business Warehouse und SAP BW/4HANA ermöglichen es einem Angreifer mit wenigen Berechtigungen, Code über einen remote-fähigen Funktionsbaustein über das Netzwerk einzuschleusen. Aufgrund einer fehlenden Eingabevalidierung kann ein Angreifer, dem Zugriff (S_RFC) zum Ausführen des Funktionsbausteins gewährt wurde, schädlichen ABAP-Code einschleusen, der persistent in einem Report im ABAP Repository gespeichert wird. Dieser Report kann dann ausgeführt werden, was zu einer Code-Injection-Schwachstelle führt, die zu einem Verlust sensibler Daten, einer Modifikation kritischer Daten und sogar zu einem Denial-of-Service führen kann.

Beide SAP Notes haben jeweils eine verlinkte Q&A SAP Note (3005196 & 3006112), worin die meist gestellten Fragen beantwortet werden, wie z.B.:

Frage 1: Welche Kunden sind betroffen?
Antwort: Betroffen sind alle Kunden von SAP, die die Softwarekomponente SAP BW oder SAP BW/4HANA installiert haben.

Dies bedeutet, dass folglich jedes ABAP System betroffen ist, welches eine SAP_BW Komponente enthält (z.B. SAP ERP, SAP BW, SAP Solution Manager, usw.).
Um das Problem zu beheben empfiehlt die SAP, die jeweils beigefügte Korrekturanleitung oder das entsprechende Support Package einzuspielen.

Gerne unterstützen wie Sie bei diesem Vorhaben. Eröffnen Sie hierzu ein Ticket unter der Vertragsart AMS mit dem Hinweis auf die oben benannten SAP HotNews (Komponente BW-BEX-OT-DBIF bzw. BW-WHM-DST-DBC).

Bleiben sie auf dem Laufenden

Abonnieren Sie unseren SAP Security Newsletter und erhalten Sie monatlich die aktuellen SAP Security Notes der SAP.

In Ergänzung zum SAP Security Newsletter bieten wir zudem eine erweiterte Unterstützung/Dienstleistungen an:

  • Prüfung, welche der Hinweise aus dem Newsletter für Ihre konkrete Systemlandschaft relevant sind
  • Umsetzung der relevanten Hinweise in Ihrer Systemlandschaft

Weitere Informationen zum Thema IT-Sicherheit, SAP Security Portfolio und wie wir Sie hierbei unterstützen können, finden Sie in folgenden Blogeinträgen:

Modernes SAP Security Portfolio – die Anforderungen unserer Kunden

Die Sicherheit der SAP-Landschaft ist ein nicht zu unterschätzender Faktor

Wenn Sie Fragen haben oder weitere Informationen benötigen, sprechen Sie gerne Ihren Service Delivery Manager (SDM), das Service Desk Team oder das Managed Services BC /BW Team an.

-von Vi Sung Bui, Head of Team BC Unit 1, Managed Services Germany –
E-Mail: [email protected]

 

NTT DATA Business Solutions
NTT DATA Business Solutions

Our experts are keen to stay up to date with new developments and always share their insights, knowledge and opinions from all around the world. They cover a wide range of IT and business-related topics, including SAP and industry expertise as well as management issues. Most of them have gained many years of experience in the area of SAP - always close to the customer. That’s why they know the requirements of the market, of our customers and their customers’ customers/ partners. Get inspired and contact us if you would like to talk to them directly.

itelligence ist jetzt NTT DATA Business Solutions
So werden wir noch besser für unsere Kunden, Partner und Mitarbeitenden.
Entdecken Sie unsere neue Webseite
Kontakt

Sie haben Fragen? Sie erreichen uns montags bis freitags von 8:00 bis 17:00 Uhr.

Rufen Sie uns gerne an
Schreiben Sie uns