(‘ZCL_SMARTERSEC‘)=>SEND_REGARDS( iv_title = ‘Frohe Weihnachten‘)
Dienstag, 13.12.2022 – der letzte SAP Security Patch Day im Jahr 2022 ist nun bereits ein paar Tage her, und wie immer berichten wir an dieser Stelle von unseren Erfahrungen aus dem Patch-Prozess für das HCM-System. Insgesamt wurden seit dem November-Stichtag 20 Security Notes den SAP-Kunden bereitgestellt – 9 davon im Bereich von CVSS 8 oder höher.
Im ersten Schritt werden diese Korrekturen auf die Komponenten und Versionen unseres HCM-Systems gefiltert, danach blieben noch 5 Hinweise übrig. Hinweis 3249990 hat als Korrekturanleitung die SAPUI5-Laufzeitumgebung auf den aktuellen Stand zu bringen – das haben wir bereits im Laufe des letzten Monats ausgeführt. Bleiben noch 4 Hinweise für den Einbau: also wieder ein einigermaßen überschaubarer Umfang. Vorneweg: alle konnten nach Sichtung direkt und problemlos eingebaut werden.
Erwähnen möchte ich an dieser Stelle 2 Hinweise. Zum einen 3271091, der eine ungewöhnliche manuelle Aktivität enthält: die Berechtigungsrolle SAP_BPC_ADMIN liegt ohne generierte Profile vor – und im Rahmen dieses Hinweises wird die Generierung nachgeholt.
Der andere Hinweis 3268172 wurde von SAP mit einem CVSS-Score von 8.8 bewertet – dieser lässt allen ABAP-Entwicklern (oder zumindest aber dem Autor) das Herz aufgehen. Verpackt in einen RFC-fähigen Funktionsbaustein finden wir hier zwei sogenannte „Generic ABAP Module Calls“, die es erlauben jede statische Methode oder jeder Methode einer serialisierbaren Klasse zur Ausführung zu bringen. Technisch gesehen sicher tolles Coding – aus Security-Sicht absolut toxisch. Als Gegenmaßnahme hätte man sich die Validierung gegen eine Whitelist oder zusätzliche Berechtigungsprüfungen vorstellen können – SAP hat den Code jedoch komplett auskommentiert – auch gut!
Damit sind wir auch schon wieder durch für diesen Monat – im Januar 2023 geht es weiter! Bis dahin wünschen wir noch einen schönen Advent und Frohe Weihnachtstage!