SAP Security Patch Day, Fiori Apps Library auf Deutsch, SAP GUI und Windows 11 | RZ10 Update – Oktober 2021
Autor: Tobias Harmes | 14. Oktober 2021
Im RZ10 Update spreche ich über aktuelle Themen und News in der Welt von SAP Basis & Security. Die Themen vom Oktober 2021: Der SAP Security Patch Day, die Fiori Apps Library auf Deutsch, SAP GUI und Windows 11.
…auf YouTube
YOUTUBE-CHANNEL abonnieren: https://www.youtube.com/c/Rz10De_ms
…als Podcast
Für unterwegs – den Podcast abonnieren: https://rz10.de/podcast
Feedback? harmes@rz10.de
…zum Lesen
Security Patch Day im Oktober
Am 12.10.2021 war wieder der SAP Security Patch Day. Es wurden 13 Security Hinweise veröffentlicht. 3 Patches haben die höchste Kategorie “HotNews” mit einem Score von mindestens 9/10, wobei einer der Hotnews bereits zuvor veröffentlicht worden ist und nun nur ein Update enthält. Unser Standard-Gast mit einem Score von 10/10 ist wie immer der SAP Business Client. Wenn Google die Chromium-Engine aus Sicherheitsgründen aktualisiert, gibt es auch hier immer ein Update.
Mit einem Score von 9.8/10 ist eine HotNews für das Produkt SAP Environmental Compliance dabei. Hier gibt es XML Injection Verwundbarkeit, also eine Sicherheitslücke beim Importieren von Excel Vorlagen. Bemerkenswerterweise ist das eine Sicherheitslücke, die von einer Sicherheitslücke in zwei verwendeten Open Source-Lösungen abgeleitet ist, welche jetzt durch eine sicherere Variante gepatched worden sind.
Eine weitere HotNews ist die Meldung 3097887 in Bezug auf Autorisierungen im SAP NetWeaver AS ABAP und in der ABAP Plattform. Bei allen Systemen ab der Version 7.0 erlaubt ein Report es – ohne Berechtigungsprüfung – Inhalte und Code-Fragmente in Qualitätssicherungs- und Produktionssysteme zu bringen. Der Report wird in zukünftigen Versionen gelöscht. Als Patch wird jetzt ein LEAVE PROGRAM genutzt. Dahinter steckt der Report RDDIT076, der gerne mal verwendet wird, um versehentlich freigegebene Transportaufträge zurückzusetzen. Dieser Report stellt dabei ohnehin für jeden Prüfer einen Dorn im Auge dar, weil er die Nachvollziehbarkeit erschwert und deshalb eigentlich gemieden werden sollte.
Fiori Apps Library jetzt mit mehrsprachigem Support
Die Fiori Apps Library bietet eine Übersicht über alle neusten Apps und z.B. auch die Möglichkeit, nach alten Transaktionen zu suchen, um herauszufinden, welche App die Transaktion jetzt abbildet. Insgesamt ist die Fiori Apps Library deshalb sehr beliebt. Gekrönt wird das Angebot nun außerdem mit einem Mehrsprachen-Support. Das ist vor allem für alle interessant, die gerade in einem S/4HANA-Projekt stecken. Bisher war es nämlich schwer, die alternativen Benennungen von Apps zu suchen. Jetzt kann man sich mehrere Sprachen mit einblenden lassen und findet Apps so deutlich unkomplizierter.
Im SAP Blogpost zum Thema findet sich allerdings der Hinweis, dass diese Funktion nur für Releases ab SAP S/4HANA 2020 FPS02 und SAP S/4HANA Cloud 2108 gilt. Alle vorherigen Versionen liegen weiterhin nur auf Englisch vor.
SAP GUI und Windows 11
Microsoft hat Windows 11 als neues Betriebssystem allgemein verfügbar gemacht. Dieses supported zumindest in der Theorie auch die GUI Plattformen – In der Praxis arbeiten manche seit Wochen problemlos mit der Preview, andere haben keine guten Erfahrungen mit Windows 11 und der SAP GUI gemacht. Problembeschreibungen lauten dann etwa folgendermaßen: „Bei mir laden Transaktionen extrem langsam, teilweise lädt überhaupt nichts mehr und ich muss die SAP GUI neu starten. Außerdem dauert die Ausführung von Reports ewig. Ich kann da mittlerweile kaum noch drauf arbeiten.“
Der Hinweis 66971 – Supported SAP GUI platforms weist außerdem darauf hin, dass SAP hier noch am Testen ist. Feststeht aber schon, dass es keinen Support mehr für die Version 7.60 geben wird. Dieser gilt dann vermutlich eher ab Version 7.70. Im Notfall ist hier für Anwender deshalb die Nutzung des Browsers zu empfehlen.
Veranstaltungshinweise
SAP TechEd im November
Zum Schluss möchte ich euch gerne noch auf ein paar Veranstaltungen aufmerksam machen. Zum einen ist die SAP TechEd im November offen für Registrierungen. Die Veranstaltung ist kostenlos und findet online statt. Über Filter können Termine für Inhalte rausgesucht werden, für die man sich besonders interessiert. Hier lohnt es sich auf jeden Fall rechtzeitig vorbeizuschauen.
RZ10 Webinare
- Am 19.10.2021: Zur automatisierten Benutzerverwaltung mit Identity Management
Im Webinar erfahrt ihr, wie ihr eure Antrags- und Genehmigungsprozesse für SAP-User und Rollen effizient gestalten und toolgestützt abbilden können.
Zur Anmeldung - Am 05.11.2021: Wie kann ich Findings vom Prüfer loswerden?
In diesem Webinar stellen wir Ihnen vor, wie ihr IT-Security-Findings aus Audits interpretieren und zur Beseitigung in konkrete Aufgaben umwandeln können.
Zur Anmeldung
YouTube Live-Session am 28.10
Am 28.10.2021 ab 9:30 Uhr findet zusätzlich auf YouTube eine Live-Session zum Lagebericht zu Berechtigungen in S/4HANA-Projekten und Fiori-Implementierungen statt. Der Livestream mit Olaf Sauer von der Firma Xiting und mir wird von einem Live-Chat begleitet und so interaktiv mit euren Fragen und unseren Erfahrungen aus der Praxis gestaltet. Ich freue mich über eure Teilnahme!
Kurioses aus dem Internet
Wer bis dahin noch etwas Unterhaltsames zum Lesen braucht, dem empfehle ich diesen Artikel von Clive Thompson, in dem er erklärt, wieso sich CAPTCHA Bilder so deprimierend anfühlen.
Wie immer gibt es weitere Tipps und Hinweise auf unserer Website oder auf unserem YouTube-Kanal. Außerdem freue ich mich auch über Feedback per Mail an harmes@rz10.de.
