TechEd inkl. kostenlosen LearningHub, SAP Patchday | RZ10 Update vom 09.12.2020
Autor: Tobias Harmes | 9. Dezember 2020
In unserem RZ10 Update spreche ich über aktuelle Themen und News in der Welt von SAP Basis & Security. Die Themen vom 09.12.2020: SAP TechEd inklusive kostenlosen LearningHub und der SAP Patchday.
…auf YouTube
YOUTUBE-CHANNEL abonnieren: https://www.youtube.com/c/Rz10De_ms
…als Podcast
Für unterwegs – den Podcast abonnieren: https://rz10.de/podcast
Feedback? harmes@rz10.de
…zum Lesen
SAP TechEd
Ebenso wie viele andere Hersteller hat die Pandemie dieses Jahr auch SAP getroffen. Die beliebte TechEd fällt allerdings nicht aus – Sie findet remote statt. Hier legt SAP einen 48 Stunden Marathon hin, der durchaus Vorteile bringt. Das wohl größte Plus: Die Teilnahme erfolgt live. Das heißt, Interessierte können sich unkompliziert online anmelden und sich eine lange Anreise sparen.
Die Teilnahme lohnt sich auch im Jahr 2020, denn die digitale TechEd bietet viel Content und verschiedene Nutzungsweisen. Eine Möglichkeit besteht darin, sich den Chanel 1 anzuschauen. Für alle, die sich nicht für bestimmte Themen entscheiden können oder wollen, werden hier wie bei einem Fernsehsender laufend Vorträge zeigt. Mit der entsprechenden Agenda kann sich im Vorhinein auch ein Überblick über die Themen und Uhrzeiten verschafft werden.
Neben dem Chanel 1 präsentieren einem die sogenannten Tracks über 500 Sessions, für die man sich gesondert anmelden kann – oder hätte anmelden sollen. Denn leider stoßen viele Teilnehmer hier auf Wartelisten. Diese sind überwiegend schon sehr voll, sodass die Hoffnung auf eine Teilnahme eher gering ist. In vielen Fällen wird aber eine Aufzeichnung der Sessions vorgenommen. Dann besteht durchaus die Möglichkeit, sich die Veranstaltung im Nachhinein anzuschauen.
Sollten weder der Chanel 1 noch die Tracks den SAP-Durst stillen, werden außerdem Strategy Talks angeboten. Hier führt ein Spezialist in Themen ein und vertieft diese in anschließenden Sessions. Beispielsweise kann es an dieser Stelle darum gehen, wie SAP das Feld S/4HANA vorantreibt.
Insgesamt stellt die TechEd eine hochwertige und nutzerfreundliche Website bereit. Das Studio ermöglicht durch LED-Panels eine sehr dynamische Sendung, wie es der ein oder andere vielleicht aus der Serie The Mandalorian kennt. Natürlich ist alles auf Englisch, doch in den meisten Fällen stehen Untertitel zur Verfügung. Das ist nicht zuletzt dem starken Community Building und den weitreichende Austauschmöglichkeiten der SAP TechEd zu verdanken. Zusätzlich dazu stellt sie nun auch noch die Event Edition vor.
Event Edition
Im SAP Learning-Bereich befindet sich vom 1. Dezember bis zum 31. März 2021 die sogenannte Event Edition mit Rabatten auf einige Zertifizierungen. In den angebotenen Kursen wird eine Learning-Journey durchlaufen, die beispielsweise Open SAP Sessions bereitstellt oder in den Learning-Hub weiterleitet. Mögliche Themen sind die SAP Business Technology Plattform, Analytics oder auch Application Development.
Diesen kostenlosen SAP-Learning-Zugriff auf die Event Edition gibt es für jeden, der sich zur TechEd registriert hat. Dies sollte noch mindestens bis Donnerstag, den 10. Dezember 2020, möglich sein. Für weitere Hinweise empfehle ich darüber hinaus den SAP TechEd Guide von Denys van Kempen.
SAP Patchday
Auch im Dezember gibt es wieder den SAP Patch Day am zweiten Dienstag im Monat. Diesmal mit 11 Security Notes, wovon 2 Updates von vorherigen Patch Days sind. Die Neuigkeiten skaliert SAP nach Wichtigkeit in low, medium, high und hot.
Wie die Grafik zeigt, gibt es im Dezember neben 2 High News 4 Hot News. Meine Zusammenfassung der relevantesten News sieht folgendermaßen aus:
Mit 10/10 Punkten auf der CVSS Skala ist der „Missing Authentication Check In SAP NetWeaver AS JAVA (P2P Cluster Communication)“ die wichtigste Neuigkeit. Es fehlen Anmeldeprüfungen. Das heißt, Außenstehende können sich in die Cluster-Kommunikation einmischen und dadurch beispielsweise auf Downloads zugreifen. Für die Lösung dieses offensichtlichen Problems ist ein Update oder ein Workaround denkbar, wie zum Beispiel die Cluster-Knoten über ACLs gegen fremde IP-Adressen abzusichern.
Für jeden, der mit SAP BusinessObjects in der Version 4.1, 4.2 oder 4.3 arbeitet, ist mit 9.6/10 Punkten auch das Problem mit dem Crystal Report relevant. Dieser prüft Uploads nicht, sodass zum Beispiel schadhafte XML Codes eingebunden werden können. Daraus können in der Folge weitere Schwierigkeiten resultieren. An dieser Stelle hilft ein Update via Support Package.
9.1/10 Punkten hat die Code Injection Schwachstelle für das SAP Business Warehouse (BW) bekommen. Hier ist es möglich, von außen Fremdcodes zu injizieren und so Betriebssystemkommandos auszuführen. Für die Version 7.3 ist die Lösung ein Patch, ab der Version 7.4 wird die entsprechende Funktion entfernt.
Auch erwähnenswert ist der Solution Manager 7.2 mit einer 8.5/10 Bewertung. Insbesondere im Bereich der User Experience sollte hier aufgepasst werden, denn mit schadhaften Skripten können Informationen aus dem System herausgezogen werden. Außerdem sind Prüfungen für nicht berechtigte Personen zugänglich, die somit Zugriff auf administrative Funktionen haben. Patches oder die Deaktivierung der administrativen Funktionen lösen das Problem hier auf Serversite auch ohne Agenten.
Wie immer gibt es weitere Tipps und Hinweise auf unserer Website, in unseren Webinaren oder auf unserem YouTube-Kanal. Außerdem freue ich mich auch über Feedback per Mail an harmes@rz10.de