Security Patch Day, WebGUI Health Check, OData Gefahren | RZ10 Update vom 10.03.2021
Autor: Tobias Harmes | 10. März 2021
In unserem RZ10 Update spreche ich über aktuelle Themen und News in der Welt von SAP Basis & Security. Die Themen vom 10.03.2021: Der Security Patch Day, der WebGUI Health Check und OData Gefahren.
…auf YouTube
YOUTUBE-CHANNEL abonnieren: https://www.youtube.com/c/Rz10De_ms
…als Podcast
Für unterwegs – den Podcast abonnieren: https://rz10.de/podcast
Feedback? harmes@rz10.de
…zum Lesen
Der Security Patch Day
Der Security Patch Day kam wie üblich am zweiten Dienstag im Monat heraus und brachte neun Security Notes mit, von denen vier Updates sind. Aufgrund ihrer Dringlichkeit stehen die Hot News dabei wie immer im Fokus des RZ10 Updates. Unter den Hot News befinden sich zwei Updates aus vorherigen Security Patch Days. Dabei handelt es sich einerseits um den Missing Authentication Check in Hinweis für den SAP Solution Manager sowie den Hinweis zur Sicherheitslücke im SAP Business Client durch Google Chromium.
Neu unter den Hot News ist die Warnung einer möglichen Code Injection in SAP MIII. Hier können User über manipulierte Webaufrufe ungewollt Codes ausführen, die ins System geschleust wurden. Dieses Problem kann bis zum Betriebssystem runter auftreten. Die einzige Möglichkeit, das zu verhindern, ist ein Patch.
Der vierte Hot News Hinweis handelt von einem Missing Authorization Check in im SAP NetWeaver im AS JAVA. Da AS JAVA bei vielen im Einsatz ist, sollte dieser Sicherheitshinweis mit einem Score von 9.6 nicht übersehen werden. Spätestens dann, wenn man Adobe Forms oder den Solution Manager nutzt, ist diese Warnung relevant. Auch hier kann sich der Angreifer Berechtigungen bis zur Geschäftsführerebene holen. Neben dem Patch ist zunächst auch ein temporärer Workaround möglich.
WebGUI Health Check
Über den SAP Blog wurde am vierten März ein neues Feature in der Transaktion SITSPMON bekannt gegeben. Es handelt sich hier um die Transaktion, mit der ich den ITS überwachen kann. Da viele Unternehmen sich inzwischen auf Fiori einstellen, nutzen sie GUI eher im Browser und müssen den ITS regelmäßig patchen.
Damit das besser funktioniert, bietet SAP jetzt einen semi-automatischen Health Check an. Zusätzlich zu den Support Information gibt es nun den Health Check Reiter mit Hinweisen zum aktuellen ITS und GUI Zustand. Ist einer der Parameter nicht korrekt, wird er hier rot angezeigt. Dieses Angebot macht somit nicht nur die Nutzung der WebGUI einfacher, sondern auch den Übergang zu Fiori attraktiver.
OData Gefahren
Von einer Leserin erreichte uns die Frage, welche Gefahren bzw. Konsequenzen für Berechtigungen im Zusammenhang mit dem Einsatz von OData Services stehen. Was OData Services sind, wird in unserem entsprechenden Know-how-Beitrag erläutert: Mit den Fiori Oberflächen kommen die HTTP Protokolle über HTML. Das sind maschinenlesbare OData Aufrufe. Diese dienen der Übertragung von Daten wie etwa Tabelleninhalte. Auch Befehle können dadurch ausgeführt werden.
Es gibt demnach Endgeräte, die auf den Frontend Server von SAP zugreifen. Das Gateway kommuniziert dann mit den ERP oder S/4HANA Systemen. Die Angriffsfläche ist hier meist größer, als man zunächst sehen und einschätzen kann. OData Services sind im Internet auch für andere verfügbar. Es könnte Schnittstellen geben, die schnell übersehen werden. Es ist demnach nicht sinnvoll, unüberlegt Gateways ins Internet zu stellen. Umgehen könnte man das beispielsweise mit VPN-Zugängen.
Auch bei den Berechtigungen muss auf bestimmte Fiori Berechtigungsobjekte geachtet werden. Es empfiehlt sich, an dieser Stelle mit den klassischen Berechtigungsrollen zu arbeiten. Weitere Informationen dazu gibt es hier.
Datenaustausch zwischen Salesforce zwischen SAP
Zum Abschluss würde ich gerne auf ein Webinar hinweisen, das wir am 16. März durchführen. Mein Kollege Frank Nedwed referiert hier zum Thema Datenaustausch zwischen Salesforce und SAP. Da er in diesen beiden Gebieten ein Experte ist, kann ich das Webinar jedem empfehlen, den dieses Thema beschäftigt.
Wie immer gibt es weitere Tipps und Hinweise auf unserer Website, in unseren Webinaren oder auf unserem YouTube-Kanal. Außerdem freue ich mich auch über Feedback per Mail an harmes@rz10.de