Sicherheitslücke SAP AS JAVA, Fiori-Nutzung messen, neue RZ10.de E-Books | RZ10 live vom 29.07.2020
Autor: Tobias Harmes | 28. Juli 2020
Die SAP Basis & Security Themen der Woche vom 29.07.2020: Sicherheitslücke SAP AS JAVA, Wie kann man die Fiori-Nutzung messen, neue RZ10.de E-Books und natürlich eure Fragen an RZ10 :)
…auf YouTube
YOUTUBE-CHANNEL abonnieren: https://www.youtube.com/c/Rz10De_ms
…als Podcast
Für unterwegs – den Podcast abonnieren: https://rz10.de/podcast
Feedback? harmes@rz10.de
Themen der Woche
Sicherheitslücke SAP AS JAVA
Der SAP Security Patch Day vom 14.07. liefert eine Security Note mit dem Topscore 10 von 10. Dabei führt der SAP NetWeaver AS JAVA keine Authentifizierungsprüfung durch. Einem Angreifer wird somit ermöglicht, volle Kontrolle über das SAP Java-System zu erhalten. Ein Demo-Exploit für die RECON (Remotely Exploitable Code On NetWeaver) ist mittlerweile auf GitHub verfügbar. Das python-Script erlaubt die Prüfung, ob man verwundbar ist, und den Download jeder beliebigen .zip-Datei eines SAP Java Servers.
Viele der traditionellen SAP-Produkte sind verfügbar, dazu gehören:
- SAP Enterprise Resource Planning,
- SAP Customer Relationship Management,
- SAP Supply Chain Management,
- SAP Supplier Relationship Management,
- SAP NetWeaver Business Warehouse,
- SAP Business Intelligence,
- SAP Enterprise Portal,
- SAP Process Orchestration/Process Integration,
- SAP Solution Manager
Mehr Informationen zum Nachlesen gibt es im zugehörigen Hinweis der SAP 2934135 und dem CVE-2020-6286 und CVE-2020-6287 Außerdem hat SAP mittlerweile einen FAQ-Hinweis veröffentlicht. Sollte es nicht möglich sein, den Hinweis einzuspielen, gibt es einen Workaround: Den Hinweis 2939665. Der ist zwar keine endgültige Lösung, aber funktioniert als vorübergehende Sicherheitsmaßnahme.
Also meine absolute Empfehlung: Wenn ihr euch das noch nicht angeschaut habt – unbedingt machen!
Wie kann man die Fiori-Nutzung messen?
Fiori-Apps werden immer beliebter. Auf sap.blogs.com ist ein Artikel erschienen, der erklärt, wie man die Fiori-Nutzung messen kann. Die Nutzungsstatistiken sind für alle interessant, die ihre Geschäftsprozesse noch optimieren wollen. Die Analyse der tatsächlichen Nutzung der Apps gibt Aufschluss, an welche Stellen Fiori-Apps bereits genutzt werden. Sind in einer Übergangsphase z.B. noch Legacy-Apps im Einsatz, kann hier geschaut werden, wer diese nutzt und wie oft diese genutzt werden. Diese Erkenntnisse kann man anschließend beispielsweise dafür nutzen, um die Kachelansicht nochmal anzupassen.
Im Hinweis 2506498 wird dazu der Report /IWFND/R_METERING_VIEW genannt, mit dem man auslesen kann, welche Apps von welchen Usern genutzt worden sind. Damit erhalte ich dann einen Überblick über die aufgerufenen Services mit den jeweiligen Servicenamen. So aussagekräftig wie die ST03N ist dieser Report für Fiori leider noch nicht, ggf. muss man die Fiori Apps Reference Library aufsuchen, um zu der eigentlichen Anwendung zu kommen.
Als Randnotiz: im Hinweis wird außerdem SAP Web Analytics hingewiesen. Das funktioniert ähnlich wie Google Analytics und analysiert die Nutzung von Websites und Webanwendungen.
Neue E-Books auf Rz10.de
Auf RZ10.de haben wir einige unserer E-Books aktualisiert, die kostenlos zum Download zur Verfügung stehen:
- E-Book Fachartikel SAP Basis & Security: Alle Fachartikel auf RZ10.de von 2019 bis 2020 auf etwa 900 Seiten
- E-Book SAP Basis: Alle Artikel zum Thema SAP Basis auf etwa 600 Seiten
- E-Book Cloud-Services: Alles rund um die SAP Cloud auf knapp 100 Seiten
Fragen an Rz10
Braucht ich als Berechtigungsadmin Tabellenzugriff auf USR02?
Die Frage:
Das Compliance Management stellt uns die Frage, ob wir im SAP Berechtigungsmanagement ohne die Tabellenzugriffe auf USR02 und USH02 weiterarbeiten könnten. Genaue Fragestellung ist:
Wir bitten um Prüfung des Sachverhalts und Begründung für den Verbleib in der Rolle für die tägliche Arbeit, oder um Mitteilung eines Vorschlags über die geplante Vorgehensweise, wie diese Berechtigung entfernt bzw. nach need-to-know zugeordnet werden kann.
Ist eine Arbeit nur mit dediziertem Zugriff auf USR02 und USH02 möglich?
Die Antwort:
Die USR02 beinhaltet in der Regel Stammdaten der Benutzer im SAP. Deswegen ist es sinnvoll, den Zugriff auf die USR02 einzuschränken. Als Berechtigungsadmin ist kein Tabellen-Zugriff auf notwendig. Denn es ist möglich, typische Admin-Tätigkeiten auch ohne Tabellenzugriff auf die USR02 und USH02 auszuüben. Es gibt aber zwei Möglichkeiten:
Möglichkeit 1: Der Berechtigungsadmin bekommt überhaupt keinen Tabellenzugriff und keine Rechte, dass er “sich selbst ändern kann”
Möglichkeit 2: USR02 und USH02 bekommen einen andere Tabellenberechtigungsgruppe, falls die Standardtabellenberechtigungsgruppe nicht ok ist und die Berechtigung wird dann als “kritisch” überwacht.
Übrigens sind die meisten Informationen, die in den Tabellen enthalten sind, auch ohne diese Berechtigungen über die Abfrage-Reports der SUIM verfügbar.
Ihr habt auch eine Frage? Gerne in die Kommentare, via RZ10 Fragen oder live im Chat bei YouTube.
Alle Videos und alle Streams auch auf unserem YouTube-Kanal.
Diese Woche erscheint unser Best-of Juli 2020. Abonniert dazu gerne unsere monatliches Best-of SAP Basis und Security.
