Wenn man die hoch priorisierten (d.h. CVSS > 8) Security Notes aus dem Monat M\u00e4rz 2023 ansieht, so sind viele verschiedene Schwachstellentypen vertreten: \u201eCode Injection\u201c, fehlerhafte Berechtigungspr\u00fcfungen, \u201eDirectory Traversal\u201c und \u201eOS Command Execution\u201c \u2013 f\u00fcr jeden Angreifer was dabei, k\u00f6nnte man denken. Mit dem Filter auf unser SAP HCM System bzw. der installierten Produkte und Komponenten verbleiben von den urspr\u00fcnglich 28 Hinweisen noch 7 als einbaubar.\u00a0<\/p>\n\n\n\n
Directory Traversal <\/strong> <\/p>\n\n\n\n Bei einer Directory Traversal Schwachstelle kann ein Angreifer durch Manipulation von Datei- oder Pfadangaben, Daten aus nicht vorgesehenen Dateien auslesen oder \u00fcberschreiben, und so beispielsweise den Betrieb des Systems st\u00f6ren. Die normalerweise vorgesehene Gegenma\u00dfnahme gegen Directory Traversal Schwachstellen wird \u00fcber eine Input-Validierung durchgef\u00fchrt (s. dazu auch Hinweis 14970031<\/sup>). Im Fall aus dem Hinweis 3294595 war zwar eine solche Input-Validierung bereits eingebaut \u2013 jedoch wurde deren Ergebnis (Feld sy-subrc) bisher falsch ausgewertet. <\/p>\n\n\n\n Die Hinweise 3294954 (Durchf\u00fchren einer zus\u00e4tzlichen Berechtigungspr\u00fcfung) und 3302162 (Komplettes Stilllegen des Reports) haben einen anderen Ansatz als die Input-Validierung. Dies stellt jedoch auch eine sinnvolle Absicherung dar \u2013 die Hinweise wurden dementsprechend problemlos eingebaut. <\/p>\n\n\n\n Generische Modulausf\u00fchrung<\/strong> <\/p>\n\n\n\n Im Hinweis 3296476 sind mehrere RFC-f\u00e4hige Funktionsbausteine betroffen, in denen es eine generische Modulausf\u00fchrung gibt \u2013 konkret kann der Name eines gerufenen Funktionsbausteins vom Aufrufer mitgegeben werden. Auch wenn hier im konkreten Fall aufgrund der Signatur der Funktionsbausteine nur wenige Alternativen in Frage kommen, sollte eine solche Generik nur angeboten werden, wenn es unbedingt notwendig ist. Dies ist anscheinend nicht der Fall und der genannte Hinweis korrigiert den Code so, dass die Aufrufe statisch stattfinden \u2013 also nicht ausnutzbar sind. <\/p>\n\n\n\n Weitere Korrekturen<\/strong> <\/p>\n\n\n\n Die \u00fcbrigen Hinweise lie\u00dfen sich ebenfalls problemlos implementieren. Erw\u00e4hnt werden sollen noch 3296328 (Denial of Service) und 3296346 (Multiple Vulnerarbilities, darunter Cross-Site Scripting): hier f\u00e4llt auf dass der korrigierte Code aus ABAP Unit Test Klassen stammt. Zwar werden diese typischerweise nicht in produktiven Umgebungen ausgef\u00fchrt \u2013 aber auch Entwicklungs- und Testsysteme m\u00fcssen abgesichert werden! <\/p>\n\n\n\n Schlie\u00dflich gilt: Vorsicht ist die Mutter der Porzelankiste \/ better safe than sorry! <\/p>\n","protected":false},"excerpt":{"rendered":" Wenn man die hoch priorisierten Security Notes aus dem Monat M\u00e4rz 2023 ansieht, so sind viele verschiedene Schwachstellentypen vertreten<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[14],"tags":[],"class_list":["post-1191","post","type-post","status-publish","format-standard","hentry","category-sap-security-patch-day-de"],"aioseo_notices":[],"aioseo_head":"\n\t\t\n\t\n\t\n\t\n\t\n\t\n\t\t\n\t\t\n\t\t\n\t\t\n\t\t\n\t\t\n\t\t\n\t\t\n\t\t\n\t\t\n\t\t\n\t\t\n\t\t\n\t\t\n\t\t