{"id":1091,"date":"2022-09-14T18:11:09","date_gmt":"2022-09-14T16:11:09","guid":{"rendered":"https:\/\/smartersec.com\/?p=1091"},"modified":"2022-09-14T18:30:43","modified_gmt":"2022-09-14T16:30:43","slug":"sap-security-patch-day-09-2022","status":"publish","type":"post","link":"https:\/\/smartersec.com\/de\/sap-security-patch-day-09-2022\/","title":{"rendered":"SAP Security Patch Day 09\/2022"},"content":{"rendered":"\n<h2 class=\"wp-block-heading\">&#8222;September 2022 Patch Day&#8220;<\/h2>\n\n\n\n<p>Schaut man auf die Temperaturen, ist der Herbst zwar noch nicht da, daf\u00fcr aber der September Patch Day \u2013 mit 16 Hinweisen im Gep\u00e4ck. Diese wenden wir in gewohnter Weise auf unser internes HCM-System an und berichten \u00fcber die Umsetzung. In diesem Monat sind keine besonders kritischen Korrekturen dabei, daher wollen in diesem Durchgang etwas mehr \u00fcber unser Vorgehen beim Einspielen berichten:<br><br>Der Hinweis mit der h\u00f6chsten Priorit\u00e4t (CVSS-Wert 6,7) ist die <a href=\"https:\/\/launchpad.support.sap.com\/#\/notes\/2634023\" title=\"2634023\">2634023<\/a>, welcher fehlende Berechtigungspr\u00fcfungen in einem OData-Service adressiert. Vereinfacht ausgedr\u00fcckt: es kommen neue AUTHORITY-CHECKS hinzu. Bei der Bewertung ob solche Hinweise eingespielt werden sollen bzw. k\u00f6nnen, kommen automatisch Fragen wie:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Welche Berechtigungen werden dadurch neu gepr\u00fcft und sind diese in den Anwender-Rollen enthalten?<\/li><li>Werden die Programmteile aktuell benutzt und wenn ja von welchen Usern?<\/li><\/ul>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" width=\"465\" height=\"99\" src=\"https:\/\/smartersec.com\/wp-content\/uploads\/2022\/09\/image-4.png\" alt=\"\" class=\"wp-image-1092\" srcset=\"https:\/\/smartersec.com\/wp-content\/uploads\/2022\/09\/image-4.png 465w, https:\/\/smartersec.com\/wp-content\/uploads\/2022\/09\/image-4-300x64.png 300w\" sizes=\"(max-width: 465px) 100vw, 465px\" \/><\/figure>\n\n\n\n<p>Der zweite Hinweis, \u00fcber den wir an dieser Stelle berichten wollen, ist <a href=\"https:\/\/launchpad.support.sap.com\/#\/notes\/3126968\" title=\"3126968\">3126968<\/a>. Er bereinigt eine \u201eSchwachstelle mit Blick auf Offenlegung von Informationen im SAP CRM WebClient\u201c. Auch hier ist ein Blick in den Quellcode hilfreich, um zu entscheiden ob \u201eEinbau oder nicht\u201c.<br><br>Man erkennt, dass eine Programmlogik, die von einem Benutzer-Parameter abh\u00e4ngig ist, aus dem Standard-Quellcode entfernt wird. Zum einen stellt dies eine nicht empfohlene Programmierpraktik dar, zum anderen konnten wir sicherstellen, dass der zugeh\u00f6rige Parameter aktuell von keinem Anwender gesetzt war \u2013 und in der Konsequenz das Einspielen auch keinen Anwender beeintr\u00e4chtigen konnte.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" width=\"465\" height=\"193\" src=\"https:\/\/smartersec.com\/wp-content\/uploads\/2022\/09\/image-5.png\" alt=\"\" class=\"wp-image-1094\" srcset=\"https:\/\/smartersec.com\/wp-content\/uploads\/2022\/09\/image-5.png 465w, https:\/\/smartersec.com\/wp-content\/uploads\/2022\/09\/image-5-300x125.png 300w\" sizes=\"(max-width: 465px) 100vw, 465px\" \/><\/figure>\n\n\n\n<p>Damit ist auch der September Patch Day f\u00fcr unser HCM-System absolviert. <br>Bis in vier Wochen und \u201eHappy Patching!\u201c.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Schaut man auf die Temperaturen, ist der Herbst zwar noch nicht da,<br \/>\ndaf\u00fcr aber der September Patch Day \u2013 mit 16 Hinweisen im Gep\u00e4ck.<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[14],"tags":[],"class_list":["post-1091","post","type-post","status-publish","format-standard","hentry","category-sap-security-patch-day-de"],"aioseo_notices":[],"acf":[],"_links":{"self":[{"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/posts\/1091","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/comments?post=1091"}],"version-history":[{"count":5,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/posts\/1091\/revisions"}],"predecessor-version":[{"id":1101,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/posts\/1091\/revisions\/1101"}],"wp:attachment":[{"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/media?parent=1091"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/categories?post=1091"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/tags?post=1091"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}