IT Security News
Nachfolgend haben wir für Sie die Themen des dritten Quartals im Jahr 2023 zusammengefasst.
Sicherheitslücken
SAP
Sicherheitsupdates für die mit dem SAP Business Client ausgelieferte Browsersteuerung Google Chromium
SAP Business Client:
Aktualisierung des SAP Business Client inkl. Chromium
SAP Hinweis: 2622660
10.0
SAP
Sicherheitsupdates für die mit dem SAP Business Client ausgelieferte Browsersteuerung Google Chromium
SAP Business Client:
Aktualisierung des SAP Business Client inkl. Chromium
SAP Hinweis: 2622660
10
SAP
Sicherheitslücke bei der Offenlegung von Informationen in SAP BusinessObjects Business Intelligence Platform (Promotion Management)
SAP Business Objects:
Aktualisierung auf das entsprechende Support Package
SAP Hinweis: 3320355
9.9
SAP
Unzulässige Zugriffskontrolle in SAP NetWeaver AS Java (Benutzerdefinierte Suche)
SAP NetWeaver Java:
Aktualisierung der Komponente Messaging
SAP Hinweis: 3273480
9.9
SAP
Code-Injection-Schwachstelle in SAP Business Objects Business Intelligence Platform
SAP Business Objects:
Aktualisierung auf das entsprechende Support Package
SAP Hinweis: 3245526
9.9
SAP
Mehrere Sicherheitslücken in SAP PowerDesigner Produkt – SAP PowerDesigner
SAP Power Designer:
Aktualisierung auf das entsprechende Support Package von SAP PowerDesigner Client und SAP PowerDesigner Proxy
SAP Hinweis: 3341460
9.8
SAP
Fehlende Berechtigungsprüfung in SAP CommonCryptoLib
SAP Common CryptoLib:
Aktualisierung der verwendeten Komponenten auf das entsprechende Support Package
- SAP NetWeaver AS ABAP & JAVA | ABAP Platform
- SAP WebDispatcher
- SAP Host Agent
- SAP Content Server
- SAP HANA Database
SAP Extended Application Service (XSA)
SAP Hinweis: 3340576
9.8
SAP
OS Command Injection Schwachstelle in SAP ECC und SAP S/4HANA (IS-OIL)
Produkt – SAP ECC und SAP S/4HANA
SAP ECC & SAP S/4 HANA:
Falls IS_OIL aktiv sein sollte:
Einspielen der Korrekturanleitung oder Aktualisierung der IS-OIL Komponente
SAP Hinweis: 3350297
9.1
SAP
BS-Befehl-Injection-Schwachstelle in SAP ECC und SAP S/4HANA (IS-OIL)
SAP ECC & SAP S/4 HANA:
Einspielen der Korrekturanleitung oder Aktualisierung der IS-OIL Komponente
SAP Hinweis: 3350297
9.1
SAP
Capture-Replay-Schwachstelle in SAP NetWeaver AS for ABAP und ABAP Plat
SAP NetWeaver ABAP:
– Kerneltausch
– Einspielen mehrerer Hinweise inkl. TCI und manuellen Nacharbeiten
SAP Hinweis: 3089413
9.0
SAP
Falsche Authentifizierung in SAP Commerce Cloud
Produkt – SAP Commerce Cloud
SAP Commerce Cloud:
SAP Commerce Cloud Behelfslösung vorhanden
SAP Hinweis: 3346500
8.8
SAP
Directory-Traversal-Schwachstelle in SAP NetWeaver (BI CONT ADD ON)
SAP NetWeaver ABAP (BI_CONT):
Einspielen der Korrekturanleitung oder Aktualisierung der SAP BI_CONT Komponente
SAP Hinweis: 3331376
8.7
SAP
Unzureichende Dateityp-Validierung in SAP BusinessObjects Business Intelligence Platform (Web Intelligence HTML-Schnittstelle)
SAP Business Objects:
Aktualisierung auf das entsprechende Support Package
SAP Hinweis: 3370490
8.7
SAP
Schwachstelle bezüglich Request-Smuggling und Request-Verkettung in SAP Web Dispatcher
SAP WebDispatcher:
Aktualisierung des SAP WebDispatchers
SAP NetWeaver ABAP:
Aktualisierung des Kernels
==> dw.sar + SAPEXE.SAR + SAPEXEDB.SAR
SAP HANA DB (XSC & XSA):
Workaround (Profilparameter) oder Revisionsupdate der HANA DB
SAP Hinweis:3233899
8.6
SAP
Stored-Cross-Site-Scripting-Schwachstelle in SAP UI5 (Variantenverwaltung)
SAP NetWaver ABAP (SAP_UI-SAP UI5):
Aktualisierung der SAP UI5 Client Runtime
SAP Hinweis: 3324285
8.2
SAP
Denial-of-Service-Schwachstelle (DoS) in SAP SQL Anywhere
SAP SQL Anywhere:
Aktualisierung des SAP SQL Anywhere 17.0
SAP Hinweis: 3331029
7.8
SAP
Code Injection Schwachstelle in SAP PowerDesigner
Produkt – SAP PowerDesigner
SAP Power Designer:
Aktualisierung auf das entsprechende Support Package von SAP PowerDesigner Client und SAP PowerDesigner Proxy
SAP Hinweis: 3341599
7.8
SAP
Speicherbeschädigungsschwachstelle in SAP Web Dispatcher
SAP WebDispatcher:
Aktualisierung des SAP WebDispatchers
SAP NetWeaver ABAP:
Aktualisierung des Kernels
==> dw.sar + SAPEXE.SAR + SAPEXEDB.SAR
Workaround (Profilparameter) oder Revisionsupdate der HANA DB
SAP Hinweis:3340735
7.7
SAP
Memory Corruption-Schwachstelle in SAP CommonCryptoLib
SAP Common CryptoLib => siehe Hinweis 3340576:
Aktualisierung der verwendeten Komponenten auf das entsprechende Support Package
SAP Hinweis: 3327896
7.5
SAP
Cross-Site Scripting (XSS)-Schwachstelle in SAP Business One
Produkt – SAP Business One
SAP Business One:
Aktualisierung des entsprechenden Support Packages (B1_ON_HANA | SAP-M-BO)
Empfehlung SAP: Upgrade SAP Business One
SAP Hinweis: 3358300
7.2
SAP
Binärer Hijack in SAP BusinessObjects Business Intelligence Suite (Installationsprogramm)
Produkt – SAP BusinessObjects Business Platform Server
SAP Business Objects:
Aktualisierung auf das entsprechende Support Package
SAP Hinweis: 3317710
7.6
SAP
Denial of Service (DoS)-Schwachstelle aufgrund der Verwendung einer anfälligen Version von Commons FileUpload in SAP BusinessObjects Business Intelligence Platform (CMC)
Produkt – SAP BusinessObjects Business Platform Server
SAP Business Objects:
Aktualisierung auf das entsprechende Support Package
SAP Hinweis: 3312047
7.5
SAP
Nicht authentifizierter blinder SSRF in SAP Solution Manager (Diagnostics-Agent)
SAP Solution Manager (JAVA):
Aktualisierung der LM_SERVICE Komponente
SAP Hinweis:3352058
7.2
SAP
Header-Injektion im SAP Solution Manager (Diagnose-Agent)
SAP Solution Manager (JAVA):
Aktualisierung der LM_SERVICE Komponente
SAP Hinweis:3348145
7.2
Sicherheitswarnungen
Microsoft
Microsoft hat im August ein neues Sicherheitsupdate für das Exchange
2019 CU13 veröffentlicht (KB5030524).
Microsoft-Patch
Quelle: Microsoft
Ghostscript
Am 11. Juli 2023 wurde zu einer kritischen Schwachstelle in der Open-Source PDF Bibliothek Ghostscript ein Proof-of-Concept Exploit veröffentlicht [KRO2023]. Die Schwachstelle mit der CVE-Nummer CVE-2023-36664 und einer CVSS-Bewertung von 9.8 („kritisch“) ermöglicht einem entfernten Angreifer die Ausführung von Remote Code.
Aktualisierung
Quelle: BSI Bund
*Common Vulnerability Scoring System (CVSS)
0,0 – 10,0 (keine Bewertung – kritisch)
Sofern Sie zu einem bestimmten Themenbereich genauere Informationen wünschen, können Sie Ihr Anliegen jederzeit gerne an unsere IT Security adressieren.