SAP Security Patchday, DSAG-Studie S/4HANA, SAP Web Dispatcher Tipp | RZ10 Update vom 12.08.2021
Autor: Tobias Harmes | 12. August 2021
Im RZ10 Update spreche ich über aktuelle Themen und News in der Welt von SAP Basis & Security. Die Themen vom 12.08.2021: SAP Security Patchday, DSAG-Studie zu S/4HANA und Cloud sowie ein Tipp zum SAP Web Dispatcher.
…auf YouTube
YOUTUBE-CHANNEL abonnieren: https://www.youtube.com/c/Rz10De_ms
…als Podcast
Für unterwegs – den Podcast abonnieren: https://rz10.de/podcast
Feedback? harmes@rz10.de
…zum Lesen
Security Patch Day im August
Der Security Patch Day wurde am 10. August veröffentlicht und beinhaltet 14 Security Hinweise, von denen ein Update von vorherigen Security Patch Days stammt. Weiterhin gab es drei Hot News.
Der erste Hot News Hinweis hat einen CVSS Score von 9.9 und thematisiert eine kritische Sicherheitslücke im SAP Business One (3071984). Diese Sicherheitslücke erlaubt es normalen Anwendern aufgrund entsprechender Fachbereichsberechtigungen unerwünschte Dateien hochzuladen. Damit dies verhindert werden kann, gibt es ein Workaround und ein Update.
Der zweite Hot News Hinweis ist ebenfalls eine Sicherheitslücke, die in der SAP NetWeaver Development Infrastructure (NWDI) vorliegt (3072955). Hierbei sind die Version 7.11 bis 7.50 betroffen. Der CVSS Score liegt bei 9.9. Ursache für diese Sicherheitslücke ist die Server Side Request Forgery, die es Angreifern erlaubt, Anfragen vom Server zu stellen und auf diesem Weg interne Angriffe durchzuführen. Der CVSS Score basiert auf dem Worst-Case Fall, dass die NWDI auch über das Internet exponiert ist. Als Update wird ein Support Package zur Verfügung gestellt.
Mit einem CVSS Score von 9.1 wird beim Security Patch Day auch auf eine Schwachstelle der Near-Zero-Downtime-Komponente von S/4HANA hingewiesen, die alle S/4HANA Releases betrifft (3078312). Sie ermöglicht Accounts mit umfangreichen Rechten einen Zugriff auf die Backend-Datenbank. Hierbei gibt es einen Workaround und der Hinweis sollte zeitnah eingespielt werden. Sofern das SAP NetWeaver Enterprise Portal im Einsatz ist, empfehle ich, auch die High-Einträge zu betrachten. Dort gibt es Cross-Site-Scripting und Server-Side Request Forgery-Sicherheitslücken.
DSAG-Studie zu S/4HANA und Cloud
Wie bereits im letzten Jahr haben die beiden SAP-Anwendergruppen, Americas‘ SAP Users‘ Group (ASUG) und die deutschsprachige SAP-Anwendergruppe e.V. (DSAG) gemeinsam eine Studie durchgeführt. Im Rahmen dieser Studie wurden die Mitglieder im April und Mai 2021 zu den Erfahrungen mit Cloud-Lösungen von SAP, den S/4HANA-Implementierungsvarianten und den Unterschieden beider Gruppen befragt.
Wie bereits in den Ergebnissen aus dem Vorjahr ist das Thema S/4HANA noch einmal aufgegriffen worden. In diesem Jahr gaben jedoch rund 80% der Befragten an, S/4HANA bereits implementiert zu haben oder dies in absehbarer Zeit zu planen.
Weiterhin setzen die DSAG-Mitglieder vorwiegend auf S/4HANA-On-Premise. Die Themen Lizenzmodelle, Kosten und Datenschutz werden in diesem Kontext als größte Herausforderung betrachtet. Hingegen scheint es beim Thema RISE with SAP noch kein großes Vertrauen in den Nutzer zu geben.
Weitere Informationen sind in der Bekanntmachung der DSAG zu finden. Außerdem gibt es eine Aufzeichnung der Vorstellung der Ergebnisse in Englisch vom 02. August 2021. Diese steht auch OnDemand zur Verfügung.
Tipp: SAP Web Dispatcher für mehre Systeme basierend auf den URLs
Abschließend gibt es von mir noch einen Tipp zum SAP Web Dispatcher, welcher dafür verwendet wird, Anfragen aus dem Internet zu terminieren und weiterzuleiten. Im SAP Community Artikel „SAP Web Dispatcher and wildcard (asterisk)” wird ein Powershell-Script vorgestellt, mit dem aus einem Access-Log sämtliche URLs gefiltert werden können, um einen Vorschlag für ein gemeinsames URL-Masking zu machen.
Dieses Vorgehen erweist sich als nützlich, wenn man den Web Dispatcher für mehr als ein System verwenden möchte und bestimmte URLs auf entsprechende SAP Systeme durchgereicht werden sollen. Das Setup dahinter ist auch in der SAP-Help beschrieben: One Web Dispatcher, Two Systems: Configuration Example
Fairerweise würde ich heutzutage jedoch eher versuchen, dezidierte Web Dispatcher beziehungsweise eigene Instanzen zu verwenden. Dies reduziert die Wartungsabhängigkeiten sowie das Risiko von nicht-eindeutigen Zugriffen. Selbstverständlich kann das Skript dennoch als Vorlage für ähnliche Anwendungsfälle dienen.
RZ10-Webinare im August und September
Das war unser RZ10 Update aus dem August. Abschließend gibt es noch zwei Veranstaltungstipps zu unseren kostenlosen Webinaren sowie ein Video zum Schmunzeln:
- Am 31.08.2021: Best Practices Sicherheitsprotokolle im SAP
In diesem ca. 1-stündigen Webinar klären wir, welche Möglichkeiten SAP Kunden beim Security Monitoring haben. Hier zeigen wir Ihnen die Unterschiede aus dem SAP Standard, SIEM-Lösungen und SAP ETD auf.
Zur Anmeldung - Am 02.09.2021: Wie kann ich IT-Security-Findings aus Audits loswerden?
In diesem Webinar stellen wir Ihnen vor, wie Sie IT-Security-Findings aus Audits interpretieren und zur Beseitigung in konkrete Aufgaben umwandeln können. Das Ziel ist, die Findings erfolgreich loszuwerden, ohne sich direkt zertifizieren lassen zu müssen.
Zur Anmeldung
Mathe ist schuld
Wer noch keinen Crypto-Ransomware-Angriff erlebt hat, der kann darüber zumindest schmunzeln. Der diesjährige Pwnies-Awards (gesprochen Ponies-Award) Gewinner für den besten Song singt über den Nutzen von Mathematik.
Wie immer gibt es weitere Tipps und Hinweise auf unserer Website oder auf unserem YouTube-Kanal. Außerdem freue ich mich auch über Feedback per Mail an harmes@rz10.de.