- 25. September 2013

SAP Sicherheitslücke in der Transaktion SUIM

Die Transaktion SUIM ist als Werkzeug im Berechtigungsumfeld kaum wegzudenken. Interne, sowie externe Auditoren nutzen diese Transaktion um zum Beispiel Benutzer mit kritischen Berechtigungen zu identifizieren, die sie solche nicht haben sollten. Stellen Sie sich jetzt vor, dass es einen Dialog-Benutzer in Ihrem System gibt, der das Profil SAP_ALL besitzt und über die Transaktion SUIM nicht gefunden werden kann. In diesem Beitrag möchte ich Ihnen deshalb zeigen, wie Sie diese Sicherheitslücke auf Ihrem System erkennen und wie Sie diese beheben können.


Die Sicherheitslücke:

Dreh und Angelpunkt ist der unscheinbare Dialog-Benutzer ‚…………‘, den ich über die Transaktion SU01 mit den Profilen SAP_ALL und SAP_NEW anlege. Falls jemand die Lücke ausnutzen möchte, wird er sehr wahrscheinlich nicht diesen offensichtlichen Weg gehen, sondern den Benutzer unter zu Hilfenahme verschiedener Funktionsbausteine etc. erstellen.

Der Benutzer sieht wie folgt aus.

SAP Sicherheitslücke in der Transaktion SUIM

SAP Sicherheitslücke in der Transaktion SUIM

Wenn Sie nun über die Transaktion SUIM (Report RSUSR002) nach Benutzern mit dem Profil SAP_ALL suchen, werden Sie merken, dass die Ergebnisliste diesen Dialog-Benutzer nicht enthält. In den nächsten beiden Abbildungen wird dieses Phänomen noch einmal dargelegt.

SAP Sicherheitslücke in der Transaktion SUIM

SAP Sicherheitslücke in der Transaktion SUIM

Die Ursache:

Grund für die Misere sind zwei Zeilen ABAP Code im Report RSUSR002, der hinter der Transaktion SUIM steckt. Über die Transaktion SE38 können Sie sich den Quellcode zu dem Report anschauen und dort über die Suche die betreffenden Stellen ausfindig machen.

SAP Sicherheitslücke in der Transaktion SUIM

SAP Sicherheitslücke in der Transaktion SUIM

Wie Sie der Abbildung entnehmen können wird durch die Anweisung DELETE userlist WHERE bname = ‚…………‘. aktiv der Benutzer aus der Liste entfernt und ist somit für Sie unsichtbar.

Die Lösung:

Durch Einspielen des SAP Hinweises 1844202 lässt sich die Sicherheitslücke schließen. Zusätzlich empfehle ich in diesem Zusammenhang die Implementierung des SAP Hinweises 1731549, über den der Zeichenvorrat für den Benutzerstamm eingeschränkt wird.

Sollten Sie für den Übergang eine schnelle Lösung suchen, so können Sie den Benutzer ‚…………‘ auch im SAP Security Audit Log eintragen, da das SAP Security Audit Log als einziges die Aktivitäten dieses Benutzers protokolliert.

Wie sind Ihre Erfahrungen mit Sicherheitslücken in SAP? Ich freue mich auf Ihren Kommentar.

Jetzt das kostenlose eBook zum Thema SAP Berechtigungen downloaden:

Jetzt das kostenlose E-Book mit ausgewählten Fachartikeln herunterladen:




2 Kommentare zu "SAP Sicherheitslücke in der Transaktion SUIM"

Bernd - 4. September 2014 | 09:16

Hallo Herr Gehring,
Habe gerade eben nachgeschaut in einer ERP 6.0 (SAPKB73107), da sind die Punkte ja immer noch.

Wurde dieses Problem mal an SAP gemeldet?

Aber da ich nach zugeordneten SAP_ALL Profile immer
über die UST04 schaue, habe ich keine Schwierigkeiten
mit der SUIM; ich will mir diese Dinge ja auch meist runterladen!

Gruß
Bernd Klüppelberg

Antworten
Oliver Gehring - 9. September 2014 | 00:07

Hallo Herr Klüppelberg,

das kann ich Ihnen leider nicht beantworten. Der SAP Hinweis aus dem Beitrag, der den Fehler beseitigt wurde am 11.06.2013 veröffentlicht.
Warum der Hinweis nicht integrierter Bestandteil neuerer Releases ist, bleibt wohl ein Geheimnis der SAP.

Grüße,
Oliver Gehring

Antworten

Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.