Dienstag, 13.12.2022 \u2013 der letzte SAP Security Patch Day im Jahr 2022 ist nun bereits ein paar Tage her, und wie immer berichten wir an dieser Stelle von unseren Erfahrungen aus dem Patch-Prozess f\u00fcr das HCM-System. Insgesamt wurden seit dem November-Stichtag 20 Security Notes den SAP-Kunden bereitgestellt \u2013 9 davon im Bereich von CVSS 8 oder h\u00f6her.<\/p>\n\n\n\n
Im ersten Schritt werden diese Korrekturen auf die Komponenten und Versionen unseres HCM-Systems gefiltert, danach blieben noch 5 Hinweise \u00fcbrig. Hinweis 3249990 hat als Korrekturanleitung die SAPUI5-Laufzeitumgebung auf den aktuellen Stand zu bringen \u2013 das haben wir bereits im Laufe des letzten Monats ausgef\u00fchrt. Bleiben noch 4 Hinweise f\u00fcr den Einbau: also wieder ein einigerma\u00dfen \u00fcberschaubarer Umfang. Vorneweg: alle konnten nach Sichtung direkt und problemlos eingebaut werden.<\/p>\n\n\n\n
Erw\u00e4hnen m\u00f6chte ich an dieser Stelle 2 Hinweise. Zum einen 3271091, der eine ungew\u00f6hnliche manuelle Aktivit\u00e4t enth\u00e4lt: die Berechtigungsrolle SAP_BPC_ADMIN liegt ohne generierte Profile vor \u2013 und im Rahmen dieses Hinweises wird die Generierung nachgeholt.<\/p>\n\n\n\n
Der andere Hinweis 3268172 wurde von SAP mit einem CVSS-Score von 8.8 bewertet \u2013 dieser l\u00e4sst allen ABAP-Entwicklern (oder zumindest aber dem Autor) das Herz aufgehen. Verpackt in einen RFC-f\u00e4higen Funktionsbaustein finden wir hier zwei sogenannte \u201eGeneric ABAP Module Calls\u201c, die es erlauben jede statische Methode oder jeder Methode einer serialisierbaren Klasse zur Ausf\u00fchrung zu bringen. Technisch gesehen sicher tolles Coding \u2013 aus Security-Sicht absolut toxisch. Als Gegenma\u00dfnahme h\u00e4tte man sich die Validierung gegen eine Whitelist oder zus\u00e4tzliche Berechtigungspr\u00fcfungen vorstellen k\u00f6nnen \u2013 SAP hat den Code jedoch komplett auskommentiert \u2013 auch gut!<\/p>\n\n\n\n
Damit sind wir auch schon wieder durch f\u00fcr diesen Monat \u2013 im Januar 2023 geht es weiter! Bis dahin w\u00fcnschen wir noch einen sch\u00f6nen Advent und Frohe Weihnachtstage!<\/p>\n","protected":false},"excerpt":{"rendered":"
Insgesamt wurden seit dem November-Stichtag 20 Security Notes den SAP-Kunden bereitgestellt \u2013 9 davon im Bereich von CVSS 8 oder h\u00f6her.<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[14],"tags":[],"class_list":["post-1120","post","type-post","status-publish","format-standard","hentry","category-sap-security-patch-day-de"],"aioseo_notices":[],"acf":[],"_links":{"self":[{"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/posts\/1120","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/comments?post=1120"}],"version-history":[{"count":1,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/posts\/1120\/revisions"}],"predecessor-version":[{"id":1121,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/posts\/1120\/revisions\/1121"}],"wp:attachment":[{"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/media?parent=1120"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/categories?post=1120"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/tags?post=1120"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}