Tochtergesellschaft smarterSec beteiligt sich am SAP Security Patchday
SAP schließt schwerwiegende Sicherheitslücken im Rahmen des SAP Security Patchdays
Der SAP Security Patchday im April erweitert die To-Do-Liste der Sicherheitsverantwortlichen um 20 Punkte, darunter einen weiteren Sicherheitspatch, der eine von smarterSec gemeldete Schwachstelle korrigiert. Es ist bemerkenswert, dass dieser Monat mehrere wirklich kritische Sicherheitsprobleme abdeckt, die mit einem CVSS-Score von 7,7 oder höher bewertet wurden.
Natürlich bedürfen Korrekturen, die mit einer „maximalen Punktzahl“ bewertet wurden, einer detaillierten Prüfung. In diesem Monat gibt es zwei Hinweise, die mit einem CVSS von 9,9 bewertet wurden (SAP-Hinweis 3587115 und SAP-Hinweis 3581961). In einer detaillierten Betrachtung stellte sich heraus, dass es sich bei beiden Hinweisen um das gleiche Problem handelt – eine ABAP Command Injection. Letztere ermöglicht es Angreifern, den Quellcode des Systems zu manipulieren und damit die Vertraulichkeit, Integrität und Verfügbarkeit des Systems zu gefährden. Die entsprechende Korrekturanweisung setzt die Funktionalität grundsätzlich außer Betrieb, indem der enthaltende Quellcode des RFC-Funktionsbausteins entfernt wird.
Wir empfehlen allen SAP-Kunden dringend, kurzfristig zu überprüfen, ob ihre Systeme die beschriebenen Schwachstellen aufweisen und falls notwendig, die SAP-Sicherheitshinweise zu implementieren.
Bitte beachten Sie, dass der im Scope befindliche RFC-Funktionsbaustein Teil des Analyseprogramms SAP Landscape Transformation (LT) ist. Das heißt: Wenn Sie dieses Tool aktuell nicht einsetzen (z.B. in Migration- oder Conversion-Projekten), ist es sehr unwahrscheinlich, dass die Funktion überhaupt genutzt wird. Folglich sollten Sie in der Lage sein, den Hinweis zu implementieren und damit das Objekt vollständig stillzulegen, ohne dass Auswirkungen auf Ihr System zu erwarten sind.