Newsletter

SAP Security Patch Day 09/2022

„September 2022 Patch Day“

Schaut man auf die Temperaturen, ist der Herbst zwar noch nicht da, dafür aber der September Patch Day – mit 16 Hinweisen im Gepäck. Diese wenden wir in gewohnter Weise auf unser internes HCM-System an und berichten über die Umsetzung. In diesem Monat sind keine besonders kritischen Korrekturen dabei, daher wollen in diesem Durchgang etwas mehr über unser Vorgehen beim Einspielen berichten:

Der Hinweis mit der höchsten Priorität (CVSS-Wert 6,7) ist die 2634023, welcher fehlende Berechtigungsprüfungen in einem OData-Service adressiert. Vereinfacht ausgedrückt: es kommen neue AUTHORITY-CHECKS hinzu. Bei der Bewertung ob solche Hinweise eingespielt werden sollen bzw. können, kommen automatisch Fragen wie:

  • Welche Berechtigungen werden dadurch neu geprüft und sind diese in den Anwender-Rollen enthalten?
  • Werden die Programmteile aktuell benutzt und wenn ja von welchen Usern?

Der zweite Hinweis, über den wir an dieser Stelle berichten wollen, ist 3126968. Er bereinigt eine „Schwachstelle mit Blick auf Offenlegung von Informationen im SAP CRM WebClient“. Auch hier ist ein Blick in den Quellcode hilfreich, um zu entscheiden ob „Einbau oder nicht“.

Man erkennt, dass eine Programmlogik, die von einem Benutzer-Parameter abhängig ist, aus dem Standard-Quellcode entfernt wird. Zum einen stellt dies eine nicht empfohlene Programmierpraktik dar, zum anderen konnten wir sicherstellen, dass der zugehörige Parameter aktuell von keinem Anwender gesetzt war – und in der Konsequenz das Einspielen auch keinen Anwender beeinträchtigen konnte.

Damit ist auch der September Patch Day für unser HCM-System absolviert.
Bis in vier Wochen und „Happy Patching!“.