{"id":2122,"date":"2023-07-17T17:45:09","date_gmt":"2023-07-17T15:45:09","guid":{"rendered":"https:\/\/smartersec.com\/?p=2122"},"modified":"2023-07-17T17:45:09","modified_gmt":"2023-07-17T15:45:09","slug":"sap-security-patch-day-07-2023","status":"publish","type":"post","link":"https:\/\/smartersec.staging.triggerco.net\/de\/sap-security-patch-day-07-2023\/","title":{"rendered":"SAP Security Patch Day 07\/2023"},"content":{"rendered":"\n<h2 class=\"wp-block-heading\">L\u00e4uft wie geschmiert\u2026 (mit IS-OIL)<\/h2>\n\n\n\n<p>\u201cSAP Security Patch Day im Juli mit 18 neuen Security Notes \u2013 zwei davon einspielbar in unserem HCM System\u201d \u2013 so die knackige Zusammenfassung f\u00fcr unser HCM-System. In der n\u00e4heren Betrachtung sind die folgenden Hinweise interessant:<\/p>\n\n\n\n<ul class=\"wp-block-list\" type=\"1\"><li><strong><strong>3350297<sup>1<\/sup>:<\/strong><\/strong> Hier wird eine sogenannte <em>OS Command Injection<\/em> bereinigt, welche \u00fcber einen Kernel-Aufruf mit dem Kommando CALL \u2018SYSTEM\u2018 funktioniert. Dabei wird es Angreifern erm\u00f6glicht, Betriebssystemkommandos auf dem Applikationsserver abzusetzen. In der Konsequenz steht sowohl die Datenintegrit\u00e4t also auch die Systemverf\u00fcgbarkeit komplett auf dem Spiel \u2013 daher ist die Schwachstelle auch zurecht mit einem CVSS von 9,1 versehen.<br><strong>Wichtig:<\/strong> der Quellcode geh\u00f6rt zur Industrie-L\u00f6sung IS-OIL und ist somit fachlich f\u00fcr unsere HCM-Prozesse nicht relevant. Aber: Der Quellcode ist dennoch im System \u2013 oft aus historischen Gr\u00fcnden. Und nur das ist f\u00fcr den Angreifer wichtig: er ist ausf\u00fchrbar! Daher gilt: unbedingt patchen.<\/li><\/ul>\n\n\n\n<ul class=\"wp-block-list\"><li><strong><strong>3351410<sup>2<\/sup><\/strong>:<\/strong> in diesem Hinweis wird ein Funktionsbaustein stillgelegt (= Quellcode auskommentiert), der einen manipulierenden Zugriff auf das SAP System Log gew\u00e4hrt. Und wiederum interessant: der Funktionsbaustein liegt in der Industriel\u00f6sung f\u00fcr Defense Forces \u2013 hat also mit dem HCM nichts zu tun \u2013 ausnutzbar ist er aber dennoch!<br>Aus Sicht des Patch-Betreibenden bedeutet es aber: einfach einspielen, kein weitere Testaufwand zu erwarten!<\/li><\/ul>\n\n\n\n<ul class=\"wp-block-list\"><li>\u00a0<strong><strong>3233899<sup>3<\/sup><\/strong>\u00a0and\u00a0<strong>3340735<sup>4<\/sup><\/strong>:<\/strong> Diese beiden Hinweise adressieren Schwachstellen im SAP Web Dispatcher bzw. im ICM Modul des SAP NetWeaver Application Server ABAP, z.T. mit kritischem CVSS von 8,6.<br>Hier zeigt sich: auch wenn die Transaktion SNOTE signalisiert, dass der Hinweis nicht einzuspielen ist, sollte man bei den hoch priorisierten Hinweisen dennoch die Texte lesen. So wird durch die o.g. Hinweise m\u00f6glicherweise ein Einspielen eines SAP Kernel Patch erforderlich (In unserem HCM System nicht, da wir schon \u201eneu\u201c genug sind).<\/li><\/ul>\n\n\n\n<p>Mit der Empfehlung \u201eimmer wieder \u00fcber den Tellerrand zu sehen\u201c endet die Beschreibung unserer Patch-Aktivit\u00e4ten f\u00fcr den Juli! Kommen Sie gut durch die Hitze!<\/p>\n\n\n\n<p><br><\/p>\n\n\n\n<p><a href=\"#_ftnref1\" id=\"_ftn1\">[1]<\/a> <a href=\"https:\/\/me.sap.com\/notes\/3350297\">3350297 &#8211; [CVE-2023-36922] BS-Befehl-Injection-Schwachstelle in SAP ECC und SAP S\/4HANA (IS-OIL) &#8211; SAP for Me<\/a><\/p>\n\n\n\n<p><a href=\"#_ftnref2\" id=\"_ftn2\">[2]<\/a> <a href=\"https:\/\/me.sap.com\/notes\/3351410\">3351410 &#8211; [CVE-2023-36924] Protokoll-Injection-Schwachstelle in SAP ERP Defense Forces and Public Security &#8211; SAP for Me<\/a><\/p>\n\n\n\n<p><a href=\"#_ftnref3\" id=\"_ftn3\">[3]<\/a> <a href=\"https:\/\/me.sap.com\/notes\/3233899\">https:\/\/me.sap.com\/notes\/3233899<\/a><\/p>\n\n\n\n<p><a href=\"#_ftnref4\" id=\"_ftn4\">[4]<\/a> <a href=\"https:\/\/me.sap.com\/notes\/3340735\">3340735 &#8211; [CVE-2023-35871] Speicherbesch\u00e4digungsschwachstelle in SAP Web Dispatcher &#8211; SAP for Me<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>SAP Security Patch Day im Juli mit 18 neuen Security Notes \u2013 zwei davon einspielbar in unserem HCM System.<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[14],"tags":[],"class_list":["post-2122","post","type-post","status-publish","format-standard","hentry","category-sap-security-patch-day-de"],"aioseo_notices":[],"acf":[],"_links":{"self":[{"href":"https:\/\/smartersec.staging.triggerco.net\/de\/wp-json\/wp\/v2\/posts\/2122","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/smartersec.staging.triggerco.net\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/smartersec.staging.triggerco.net\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/smartersec.staging.triggerco.net\/de\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/smartersec.staging.triggerco.net\/de\/wp-json\/wp\/v2\/comments?post=2122"}],"version-history":[{"count":2,"href":"https:\/\/smartersec.staging.triggerco.net\/de\/wp-json\/wp\/v2\/posts\/2122\/revisions"}],"predecessor-version":[{"id":2126,"href":"https:\/\/smartersec.staging.triggerco.net\/de\/wp-json\/wp\/v2\/posts\/2122\/revisions\/2126"}],"wp:attachment":[{"href":"https:\/\/smartersec.staging.triggerco.net\/de\/wp-json\/wp\/v2\/media?parent=2122"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/smartersec.staging.triggerco.net\/de\/wp-json\/wp\/v2\/categories?post=2122"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/smartersec.staging.triggerco.net\/de\/wp-json\/wp\/v2\/tags?post=2122"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}