\u2026 so m\u00fcsste eine alte B\u00f6rsenweisheit lauten, wenn man sie auf die Sicherheit von IT-Systemen adaptieren m\u00f6chte: kontinuierliches Patchen ist eine Pflicht, wenn man dieses Ziel ernsthaft verfolgt. Dementsprechend haben wir uns auch diesen Monat die Liste der Hinweise angesehen, welche die SAP als \u201eSAP Security Patch Day \u2013 May 2022\u201c ver\u00f6ffentlicht hat. <\/p>\n\n\n\n
Insgesamt stehen 14 Hinweise auf der Liste, die wir \u2013 wie immer \u2013 aus dem Blickwinkel unseres eigenen SAP HCM Systems analysieren wollen. <\/p>\n\n\n\n
Angef\u00fchrt werden die Korrekturen von vier Hinweisen (3170990<\/em>, 3189409<\/em>, 3171258<\/em>, 3189635<\/em>) zum Thema Spring Framework – zum Teil handelt es sich auch um Aktualisierungen aus dem letzten Monat. Nach dem Herunterladen in den Note Assistent (SNOTE) werden diese als \u201enicht einbaubar\u201c bewertet. <\/p>\n\n\n\n Da die zugrunde liegenden Schwachstellen jedoch mit fast maximaler Kritikalit\u00e4t bewertet wurden (CVSS Score = 9.8) empfiehlt sich dennoch ein Blick in den Hinweis. Zum einen zur Pr\u00fcfung, ob eventuell manuelle T\u00e4tigkeiten wie das Installieren von Support Packages notwendig sind (s. aus dem Vormonat der UI5-Framework Patch in 3126557<\/em>). Zum anderen referenzieren diese Hinweise in der Regel auf andere, die man dann nochmal herunterladen muss \u2013 s. Hinweis 3170990<\/em>). Bezogen auf unser HCM-System ergeben sich jedoch keine notwendigen Aktivit\u00e4ten. <\/p>\n\n\n\n Insgesamt waren 5 Hinweise in unserem HCM-System in der SNOTE problemlos einbaubar. Zum einen, weil Schwachstellen wir Cross Site Scripting adressiert wurden, deren Korrektur rein technisch ist und keinen Nachtest erfordert (3124994<\/em>, 3146336<\/em>). Die Hinweise zu fehlenden Berechtigungspr\u00fcfungen k\u00f6nnen in unserer Umgebung sofort implementiert werden (3165801<\/em>). <\/p>\n\n\n\n Ein anderer Aspekt ist die Frage, ob das betroffene Modul \u00fcberhaupt verwendet wird (wenn nein, kann man direkt einspielen). Ein klares \u201eJa\u201c ist aber die Antwort auf diese Frage, wenn es um Hinweis 3164677 <\/em>Information Disclosure vulnerability in SAP Employee Self Service (Fiori My Leave Request)<\/em> geht. Denn ESS Szenarien werden bei uns intensiv genutzt. <\/p>\n\n\n\n Im Hinweis-Text hei\u00dft es: \u201eAufgrund einer unzureichenden Eingabevalidierung erm\u00f6glicht SAP Employee Self-Service einem authentifizierten Angreifer mit Benutzerberechtigungen das \u00c4ndern der Mitarbeiternummer. Nach erfolgreicher Ausnutzung kann der Angreifer pers\u00f6nliche Details anderer Benutzer anzeigen, was zu einem gewissen Grad die Vertraulichkeit der Anwendung beeintr\u00e4chtigt.\u201c<\/em>. <\/p>\n\n\n\n Zwar wird hier nicht benannt, welche Daten konkret einsehbar sind \u2013 aber bei der Fiori-App \u201eMeine Abwesenheitsantr\u00e4ge\u201c sind mit Sicherheit personenbezogene Daten betroffen. Das steht im Wiederspruch zur Anforderung der Zugriffskontrolle im Sinne der DSGVO. Daher haben wir, nach R\u00fccksprache mit den Applikationsverantwortlichen und einer Sichtung der Korrektur, auch diesen Patch sofort eingespielt. <\/p>\n\n\n\n Damit endet unser Blog \u00fcber die Patch-Aktivit\u00e4ten im Mai \u2013 wir melden uns in vier Wochen an dieser Stelle wieder. <\/p>\n","protected":false},"excerpt":{"rendered":" \u201ePatch in May or go away\u201d \u2026 so m\u00fcsste eine alte B\u00f6rsenweisheit lauten, wenn man sie auf die Sicherheit von IT-Systemen adaptieren m\u00f6chte: kontinuierliches Patchen ist eine Pflicht, wenn man dieses Ziel ernsthaft verfolgt.<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[14],"tags":[],"class_list":["post-800","post","type-post","status-publish","format-standard","hentry","category-sap-security-patch-day-de"],"aioseo_notices":[],"acf":[],"_links":{"self":[{"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/posts\/800","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/comments?post=800"}],"version-history":[{"count":3,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/posts\/800\/revisions"}],"predecessor-version":[{"id":807,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/posts\/800\/revisions\/807"}],"wp:attachment":[{"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/media?parent=800"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/categories?post=800"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/tags?post=800"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Einspielbare Hinweise <\/h3>\n\n\n\n
Information Disclosure in HCM Employee Self Services <\/h3>\n\n\n\n