IT Security News

Nachfolgend haben wir für Sie die Themen des dritten Quartals im Jahr 2023 zusammengefasst.

Sicherheitslücken

Kategorie

Sicherheitslücke

Lösung / Workaround

Zu beachten

SAP

Sicherheitsupdates für die mit dem SAP Business Client ausgelieferte Browsersteuerung Google Chromium

SAP Business Client:

Aktualisierung des SAP Business Client inkl. Chromium

SAP Hinweis: 2622660

10.0

SAP

Sicherheitsupdates für die mit dem SAP Business Client ausgelieferte Browsersteuerung Google Chromium

SAP Business Client:

Aktualisierung des SAP Business Client inkl. Chromium

SAP Hinweis: 2622660

10

SAP

Sicherheitslücke bei der Offenlegung von Informationen in SAP BusinessObjects Business Intelligence Platform (Promotion Management)

SAP Business Objects:

Aktualisierung auf das entsprechende Support Package

SAP Hinweis: 3320355

9.9

SAP

Unzulässige Zugriffskontrolle in SAP NetWeaver AS Java (Benutzerdefinierte Suche)

SAP NetWeaver Java:

Aktualisierung der Komponente Messaging

SAP Hinweis: 3273480

9.9

SAP

Code-Injection-Schwachstelle in SAP Business Objects Business Intelligence Platform

SAP Business Objects:

Aktualisierung auf das entsprechende Support Package

SAP Hinweis: 3245526

9.9

SAP

Mehrere Sicherheitslücken in SAP PowerDesigner Produkt – SAP PowerDesigner

SAP Power Designer:

Aktualisierung auf das entsprechende Support Package von SAP PowerDesigner Client und SAP PowerDesigner Proxy

SAP Hinweis: 3341460

9.8

SAP

Fehlende Berechtigungsprüfung in SAP CommonCryptoLib

SAP Common CryptoLib:

Aktualisierung der verwendeten Komponenten auf das entsprechende Support Package

  • SAP NetWeaver AS ABAP & JAVA | ABAP Platform
  • SAP WebDispatcher
  • SAP Host Agent
  • SAP Content Server
  • SAP HANA Database

 

SAP Extended Application Service (XSA)

SAP Hinweis: 3340576

9.8

SAP

OS Command Injection Schwachstelle in SAP ECC und SAP S/4HANA (IS-OIL)
Produkt – SAP ECC und SAP S/4HANA

SAP ECC & SAP S/4 HANA:

Falls IS_OIL aktiv sein sollte:

Einspielen der Korrekturanleitung oder Aktualisierung der IS-OIL Komponente

SAP Hinweis: 3350297

9.1

SAP

BS-Befehl-Injection-Schwachstelle in SAP ECC und SAP S/4HANA (IS-OIL)

SAP ECC & SAP S/4 HANA:

Einspielen der Korrekturanleitung oder Aktualisierung der IS-OIL Komponente

SAP Hinweis: 3350297

9.1

SAP

Capture-Replay-Schwachstelle in SAP NetWeaver AS for ABAP und ABAP Plat

SAP NetWeaver ABAP:

– Kerneltausch

– Einspielen mehrerer Hinweise inkl. TCI und manuellen Nacharbeiten

SAP Hinweis: 3089413

9.0

SAP

Falsche Authentifizierung in SAP Commerce Cloud
Produkt – SAP Commerce Cloud

SAP Commerce Cloud:

SAP Commerce Cloud Behelfslösung vorhanden

SAP Hinweis: 3346500

8.8

SAP

Directory-Traversal-Schwachstelle in SAP NetWeaver (BI CONT ADD ON)

SAP NetWeaver ABAP (BI_CONT):

Einspielen der Korrekturanleitung oder Aktualisierung der SAP BI_CONT Komponente

SAP Hinweis: 3331376

8.7

SAP

Unzureichende Dateityp-Validierung in SAP BusinessObjects Business Intelligence Platform (Web Intelligence HTML-Schnittstelle)

SAP Business Objects:

Aktualisierung auf das entsprechende Support Package

SAP Hinweis: 3370490

8.7

SAP

Schwachstelle bezüglich Request-Smuggling und Request-Verkettung in SAP Web Dispatcher

SAP WebDispatcher:

Aktualisierung des SAP WebDispatchers

SAP NetWeaver ABAP:

Aktualisierung des Kernels

==> dw.sar + SAPEXE.SAR + SAPEXEDB.SAR

SAP HANA DB (XSC & XSA):

Workaround (Profilparameter) oder Revisionsupdate der HANA DB

SAP Hinweis:3233899

8.6

SAP

Stored-Cross-Site-Scripting-Schwachstelle in SAP UI5 (Variantenverwaltung)

SAP NetWaver ABAP (SAP_UI-SAP UI5):

Aktualisierung der SAP UI5 Client Runtime

SAP Hinweis: 3324285

8.2

SAP

Denial-of-Service-Schwachstelle (DoS) in SAP SQL Anywhere

SAP SQL Anywhere:

Aktualisierung des SAP SQL Anywhere 17.0

SAP Hinweis: 3331029

7.8

SAP

Code Injection Schwachstelle in SAP PowerDesigner
Produkt – SAP PowerDesigner

SAP Power Designer:

Aktualisierung auf das entsprechende Support Package von SAP PowerDesigner Client und SAP PowerDesigner Proxy

SAP Hinweis: 3341599

7.8

SAP

Speicherbeschädigungsschwachstelle in SAP Web Dispatcher

SAP WebDispatcher:

Aktualisierung des SAP WebDispatchers

SAP NetWeaver ABAP:

Aktualisierung des Kernels

==> dw.sar + SAPEXE.SAR + SAPEXEDB.SAR

Workaround (Profilparameter) oder Revisionsupdate der HANA DB

SAP Hinweis:3340735

7.7

SAP

Memory Corruption-Schwachstelle in SAP CommonCryptoLib

SAP Common CryptoLib => siehe Hinweis 3340576:

Aktualisierung der verwendeten Komponenten auf das entsprechende Support Package

SAP Hinweis: 3327896

7.5

SAP

Cross-Site Scripting (XSS)-Schwachstelle in SAP Business One
Produkt – SAP Business One

SAP Business One:

Aktualisierung des entsprechenden Support Packages (B1_ON_HANA | SAP-M-BO)

Empfehlung SAP: Upgrade SAP Business One

SAP Hinweis: 3358300

7.2

SAP

Binärer Hijack in SAP BusinessObjects Business Intelligence Suite (Installationsprogramm)
Produkt – SAP BusinessObjects Business Platform Server

SAP Business Objects:

Aktualisierung auf das entsprechende Support Package

SAP Hinweis: 3317710

7.6

SAP

Denial of Service (DoS)-Schwachstelle aufgrund der Verwendung einer anfälligen Version von Commons FileUpload in SAP BusinessObjects Business Intelligence Platform (CMC)
Produkt – SAP BusinessObjects Business Platform Server

SAP Business Objects:

Aktualisierung auf das entsprechende Support Package

SAP Hinweis: 3312047

7.5

SAP

Nicht authentifizierter blinder SSRF in SAP Solution Manager (Diagnostics-Agent)

SAP Solution Manager (JAVA):

Aktualisierung der LM_SERVICE Komponente

SAP Hinweis:3352058

7.2

SAP

Header-Injektion im SAP Solution Manager (Diagnose-Agent)

SAP Solution Manager (JAVA):

Aktualisierung der LM_SERVICE Komponente

SAP Hinweis:3348145

7.2

Sicherheitswarnungen

Kategorie

Sicherheitslücke

Lösung / Workaround

Zu beachten

Microsoft

Microsoft hat im August ein neues Sicherheitsupdate für das Exchange
2019 CU13 veröffentlicht (KB5030524).

Microsoft-Patch

Quelle: Microsoft

Ghostscript

Am 11. Juli 2023 wurde zu einer kritischen Schwachstelle in der Open-Source PDF Bibliothek Ghostscript ein Proof-of-Concept Exploit veröffentlicht [KRO2023]. Die Schwachstelle mit der CVE-Nummer CVE-2023-36664 und einer CVSS-Bewertung von 9.8 („kritisch“) ermöglicht einem entfernten Angreifer die Ausführung von Remote Code.

Aktualisierung

Quelle: BSI Bund

*Common Vulnerability Scoring System (CVSS) 
0,0 – 10,0 (keine Bewertung – kritisch)

Sofern Sie zu einem bestimmten Themenbereich genauere Informationen wünschen, können Sie Ihr Anliegen jederzeit gerne an unsere IT Security adressieren.

anschrift

FIS-ASP Application Service Providing und IT-Outsourcing GmbH
Röthleiner Weg 4
D-97506 Grafenrheinfeld

Tel.: +49 97 23 / 91 88-500
Fax: +49 97 23 / 91 88-600

info@fis-asp.de

IT-SECURITY NEWSLETTER

Wir informieren Sie über aktuelle Änderungen im Bereich der IT-Sicherheit. Melden Sie sich an und verpassen Sie zukünftig keine Informationen mehr.

Sie möchten mehr über uns wissen?

Über den nachfolgenden Link gelangen Sie in unseren Downloadbereich. Hier finden Sie Informationen zum Unternehmen, Whitepapers und Fachberichte.

aktuelle beiträge

Girls´Day 2024

Du willst die rasant wachsende, digitale Informationstechnologie kennenlernen? Dann komme zu unserem Girls’ Day am 25. April 2024!

Weiterlesen »
Eine neue Podcast-Folge: Die FIS-Gruppe

Wir geben euch einen Einblick in unseren Arbeitsalltag und wie die Zusammenarbeit in unserer Unternehmensgruppe funktioniert. Mit 4 Standorten, über 850 Mitarbeitenden und einer Expertise von über 30 Jahren sind wir stolz auf das, was wir erreicht haben.

Weiterlesen »
Spende statt Geschenke

Auch in diesem Jahr möchten FIS-ASP auf herkömmliche Weihnachtsgeschenke für ihre Kunden und Partner verzichten. Stattdessen wurde beschlossen, die Deutsche Kinderkrebsstiftung mit einer Spende von 10.000,- EUR zu unterstützen, um die wichtige Arbeit für krebskranke Kinder zu fördern.

Weiterlesen »