Newsletter

SAP Security Patch Day 04/2022

„April, April – der macht was er will“  

So könnte man auch beim Blick auf die über 30 Einträge starke Liste der Security Notes in diesem Monat meinen. Wieder einmal berichten wir an dieser Stelle aus der Praxis: Welche Aktivitäten wurden in unserem eigenen produktiven SAP HCM-System ausgeführt?

Updates zu Security Notes aus den Vormonaten 

Auch dieses Mal wurden die „Hot Topics“ der vergangenen Monate mit weiteren Updates in den zugehörigen Security Notes bedacht. So gibt es beispielsweise ein Update zu Hinweis 3123396 für die „ICMAD“-Schwachstelle – den notwendigen Kernel Patch haben wir bereits von den SAP-Basis-Kollegen einspielen lassen. 

Auch aktualisiert wurde der Sammelhinweis zum SAP Business Client und dem darin verwendeten Chromium Plugin. Über die Notwendigkeit den SAP Business Client zu aktualisieren hatten wir bereits im Februar berichtet. 

Insbesondere bei den hochpriorisierten Updates haben wir die Inhalte der Hinweise nochmal geprüft, es ergaben sich aber keine weiteren notwendigen Aktivitäten. 

Einspielbare Korrekturen 

Einbaubar waren in diesem Monat für unser HCM System nur zwei Korrekturen: 3128473 und 3165333 – letzterer erforderte eine kleine manuelle Vorarbeit und konnte dann problemlos eingebaut werden. 

Interessant an 3128473 war, dass dieser einen möglichen Syntaxfehler (abhängig vom Support-Package) im System herstellt und deswegen auf einen weiteren Hinweis 3189594 referenziert. Beide ließen sich aber automatisch einspielen und die betroffene Transaktion funktioniert weiterhin. 

Update der UI5-Bibliothek 

Abschließend müssen wir noch auf Hinweis 3126557 eingehen, der ein sogenanntes Cross Site Scipting in einer UI5-Standardblibliothek adressiert – mit einem CVSS von 6.1 eine Korrektur mit „gehobener“ Priorität. Die notwendigen Maßnahmen werden so beschrieben: „Installieren Sie den neuesten SAPUI5-Patch – siehe referenzierten SAP-Hinweis 3155948“ 

Da dies zum einen aus der Transaction Note Assistant (SNOTE) nicht vorgesehen und zum anderen in unserem laufenden Betrieb ad-hoc nicht möglich ist, haben wie das Einspielen des Patch für das nächste mögliche Zeitfenster eingeplant. 

Das beschließt unseren Blog zu den Patch-Aktivitäten im April, der zwar insgesamt eine große Anzahl an Hinweisen bereithielt – aber letzten Endes für unser produktives System nur recht wenig Maßnahmen erforderte.