F\u00fcr viele, die ihr Arbeitsjahr erst nach dem Ende der Schulferien begonnen haben, geht 2023 direkt mit dem Patch Day los. Zwar wurden seit dem Dezember nur 12 Hinweise ver\u00f6ffentlicht, jedoch 7 mit hoher Priorit\u00e4t (CVSS-Bewertung gr\u00f6\u00dfer 9).<\/p>\n\n\n\n
Der \u00fcberwiegende Teil der Korrekturen ist f\u00fcr das bei uns vorliegende Setup nicht relevant: in diesem Blog wollen wir \u00fcber unsere Patching-Aktivit\u00e4ten am HCM-System berichten, welches ein \u201eklassisches\u201c SAP NetWeaver AS for ABAP System ist. Dementsprechend werden Hinweise die z.B. SAP BusinessObjects oder den Java-Stack betreffen hier nicht betrachtet. Die Bewertung der Hinweise muss aber immer spezifisch f\u00fcr die konkrete Landschaft getroffen werden und kann f\u00fcr Ihre Systeme zu einer anderen Entscheidung f\u00fchren.<\/p>\n\n\n\n
Zun\u00e4chst der einfachere Teil: Hinweis 32832831 <\/sup>korrigiert ein Cross-Site Scripting. Korrekturen dieses Typs k\u00f6nnen in der Regel ohne zus\u00e4tzlichen Testaufwand \u00fcbernommen werden. Nach Sichtung der Quelltext\u00e4nderungen wurde der Hinweis direkt eingespielt.<\/p>\n\n\n\n Der erste Patch Day des Jahres beinhaltet auch den kritisch bewerteten Hinweis 30894132<\/sup> (CVSS 9.0), der \u2013 sagen wir es mal etwas flapsig \u2013 ein \u201edicker Klopper\u201c ist:<\/p>\n\n\n\n Der Hinweis selbst ist durch zahlreiche vorausgesetzte oder verlinkte Hinweise etwas un\u00fcbersichtlich, daher an dieser Stelle auch der Hinweis auf die Einordnung von Frank Buchholz, SAP in seinem Blog3<\/sup>.<\/p>\n\n\n\n Somit ist auch klar, dass man Hinweis 3089413 nicht \u201emal eben nebenher\u201c einbauen kann. F\u00fcr die System in unserer Landschaft haben wir das Backup und den notwendigen Kernel-Patch f\u00fcr dieses Wochenende eingeplant. Von den weiteren Schritten werden wir an dieser Stelle in einem Update berichten.<\/p>\n\n\n\n Bis dahin w\u00fcnschen wir: \u201eHappy Patching!\u201c<\/p>\n\n\n\n [1] 3283283 – [CVE-2023-0013] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver AS for ABAP and ABAP Platform – SAP ONE Support Launchpad<\/a><\/p>\n\n\n\nKorrekturen an zentralem RFC-Mechanismus<\/h3>\n\n\n\n