SAP Security Patch Day, DSAG Jahreskongress live, Berechtigungen prüfen | RZ10 Live vom 09.09.2020
Autor: Tobias Harmes | 8. September 2020
Die SAP Basis & Security Themen der Woche vom 09.09.2020: SAP Security Patch Day, DSAG Jahreskongress live, Berechtigungen prüfen im Standard und eure Fragen an RZ10 :)
Live-Stream auf YouTube
YOUTUBE-CHANNEL abonnieren: https://www.youtube.com/c/Rz10De_ms
Oder als Podcast:
Für unterwegs – den Podcast abonnieren: https://rz10.de/podcast
Feedback? harmes@rz10.de
Die Themen der Woche
SAP Security Patch Day im September
Auch an diesem zweiten Dienstag im Monat gab es wieder den SAP Security Patch Day. An diesem werden Patches mit einer besonderen Relevanz für die Sicherheit vorgestellt. SAP teilt die News werden dabei nach low, medium, high und hot geordnet, je nachdem wie wichtig sie sind. Bei diesem Security Patch aus diesem Monat wurden insgesamt 16 Security Notes von der SAP geliefert. Von diesen 16 wurden zwei in der Kategorie “high” und vier in der Kategorie “hot” eingestuft.
Die erste Hot News ist eine 10/10 auf der von SAP erstellten Skala CVSS. Diese News ist ein Update der Security News [CVE-2020-6207] aus dem März diesen Jahres. Bei der News geht es um eine fehlende Authentifizierung im SAP Solution Manager. Dieses Problem ist allerdings nur relevant, wenn man kleiner als SP11 ist.
Bei der nächsten Hot News (9.8/10) geht es um den Chromium Browser und den Business Client. Da ab der Version 6.5 des Business Client auch die Chromium Engine genutzt werden kann. Durch das Nutzen der Open Source Software muss der Business Client immer dann neu gepatcht werden, sollte etwas für den Chromium Browser gefunden werden. Daher gibt es nun dieses Update für den Business Client. Grundsätzlich sollte der Business Client regelmäßig gepatcht werden.
Während die ersten beiden Hot News eher Updates waren, handelt es sich bei den übrigen um neue Hot News. Die erste Hot News davon hat einen Wert von 9.6 und bezieht sich auf das SAP Marketing. Ein angemeldeter User ist dabei in der Lage, Dinge zu tun, die nicht vorgesehen sind. Genauer geht es dabei um das Mobile Channel Servlet. Wer dies also benutzt, sollte sich diesen Hinweis nochmal genauer durchlesen.
Die letzte Hot News hat einen Wert von 9.1 und heißt “Code Injection vulnerability in SAP NetWeaver (ABAP Server) and ABAP Platform”. Bei der News geht es allerdings nur um BW auf den Datenbank-Platformen Sybase und IBM Db2 for i (DB4). Für etwas anderes gilt diese Hot News nicht. Die zwei High News sind noch kleinere Updates für Security Notes, die schon im August bzw. Juni veröffentlicht wurden.
DSAG Jahreskongress live
Das Motto des DSGALIVE lautet “Zukunft mit Weitsicht! Nachhaltig gewinnt.” Damit knüpft es an das Motto des vergangenen Kongresses “Und Action!” an. DSAGLIVE ist das virtuelle Angebot, das vom 12. bis 16. Oktober 2020 anstelle des abgesagten DSAG-Jahreskongresses 2020 stattfindet. Ausschließlich online findet es von Montag bis Freitag (9 bis ca. 17 Uhr) statt.
In diesem Jahr soll es um die längerfristige und nachhaltige Planung gehen. Der Vormittag soll weitestgehend aus Keynotes bestehen. Ab 11 Uhr wird es Beiträge aus den verschiedenen Arbeitskreisen geben. Zum Schluss, also am Ende des Tages sind Partnervorträge geplant. Ebenso ist auch eine virtuelle Ausstellung Teil des DSAGLIVE. Die Gebühren für DSAF-Mitglieder belaufen sich auf 95€, Nicht-Mitglieder zahlen 195€. Dazu wird 250 Studierenden ein kostenfreier Zugang gewährt.
Berechtigungen prüfen im Standard
Mein Kollege Jonas Krüger hat eine Beitrag geschrieben, der zeigt wie Berechtigungen im Standard geprüft werden können. In der Transaktion SUIM kann man die “Benutzer mit kritischen Berechtigungen” (Report RSUSR008_009_NEW) sehen. Es kann damit eine Prüfung auf kritische Berechtigungen oder Kombinationen erfolgen. Neben Usern können auch Rollen geprüft werden. Allerdings liefert die SAP hierfür im Standard keine Regelwerke mit.
In seinem Beitrag beschreibt er weiter, dass es ab dem Release 7.52 die Möglichkeit gibt, mit dem Report RSUSR_UP_AND_DOWNLOAD_FOR_CA die Definition der Regelwerke in Excel vorzunehmen. In älteren Releases kann mit diesem ABAP CODE der Report auch selbst angelegt werden. Die bestehenden Regeln können mit diesem Report aus dem System im passenden Format nach Excel exportiert werden. Dort können sie dann angepasst bzw. ergänzt werden. Hier ist der Link zum kompletten Beitrag.
Nun muss aber auch dazu gesagt werden, dass es auch bei dieser Methode noch Limitationen gibt. So ist es bspw. weiterhin ziemlich viel Fummelei, viele manuelle Arbeit. Zudem ist wichtig zu bemerken, dass Ausnahmen nur sehr schlecht gepflegt werden können. So wird bspw. jemand immer wieder angezeigt, obwohl jeder weiß, dass er all diese Berechtigungen benötigt. Für eine schnelle Prüfung nebenbei ist dieser Report jedoch gut geeignet.
Neue Learning Journey der SAP
Die SAP hat diverse neue Learning Journeys veröffentlicht. Learning Journeys sind Maps, auf denen man sehen kann, welche Kurse man buchen kann oder welche Zertifizierung es gibt. Besonders relevant ist dabei die Learning Journey für SAP Adaptive Server (SAP ASE) Enterprise Administration.
SAP hat den Support geändert
SAP hat den Support Assistant auch für Datenbanken und Betriebssysteme für SAP NetWeaver eingeführt. Der Support Assistant erinnert ein wenig an einen WhatsApp-Chat. Es ist dabei ein geführter Bot, mit dem ein Gespräch geführt wird. Dieser führt dann die Fragenden noch näher an die Lösungsfindung heran. Aus einer Auswahl an vorgestellten kann das betreffenden Problem angeklickt werden und es wird immer weiter eingegrenzt, welcher SAP Hinweis relevant sein könnte.
Zum Schluss
Das ist die letzte Chance, sich für das Online Training Grundlagen SAP Berechtigungen einzuschreiben. Ihr erhaltet Wissen zu dem Thema in einer Kombination aus E-Learning und regelmäßigen Websessions über 6 Wochen.
Und: Ab sofort ist der Live-Stream wieder der Sonderfall und nicht mehr Standard :). Das heißt, dass: die nächsten Folgen wieder vorproduziert sind. Ebenfalls wollen wir uns dadurch auch wieder mehr auf anderen Formate, wie z.B. Interviews, konzentrieren. Wenn ihr den nächsten Live-Stream dennoch nicht verpassen wollt, dann abonniert uns gerne auf YouTube. Wer lieber Podcast hört, kann das Gleiche auch auf Spotify oder bei eurem Lieblingspodcast-Client tun.
Ihr habt auch eine Frage? Gerne in die Kommentare, via RZ10 Fragen oder live im Chat bei YouTube.
Alle Videos und alle Streams auch auf unserem YouTube-Kanal.