SAP Security Patchday, DSAG Live Agenda, SAP Fiori iOS App | RZ10 Update – September 2021
Autor: Tobias Harmes | 16. September 2021
Im RZ10 Update spreche ich über aktuelle Themen und News in der Welt von SAP Basis & Security. Die Themen vom September: Der Security Patch Day, meine DSAG Live Agenda und die SAP Fiori iOS App.
…auf YouTube
YOUTUBE-CHANNEL abonnieren: https://www.youtube.com/c/Rz10De_ms
…als Podcast
Für unterwegs – den Podcast abonnieren: https://rz10.de/podcast
Feedback? harmes@rz10.de
…zum Lesen
Security Patch Day im September
Am 14.09.2021 fand wieder, wie jeden zweiten Dienstag im Monat, der SAP Security Patchday statt. Insgesamt wurden 17 Security Hinweise veröffentlich, von denen sieben Hinweise Patches haben, die zur Kategorie „HotNews“ gehören und ihr CVSS Score somit größer als 9/10 ist. Zwei der Security-Hinweise sind bereits zuvor veröffentlicht worden und enthalten nur Updates.
Beim Dauerkandidaten Google Chromium wird ein Update des SAP Business Clients empfohlen, da Google den Chromium Engine aktualisiert hat. Der CVSS Score liegt her bei 10/10. [2622660]
Weiterhin besteht beim SAP NetWeaver AS Java ab 7.11 eine Sicherheitslücke mit der höchsten CVSS Einstufung (10/10). Die Sicherheitslücke ist in der JMS Connectore Service Komponente zu verorten, da dort Berechtigungen nicht korrekt überprüft werden. Auf diese Weise können Privilegien von anderen Gruppen genutzt sowie geschützte Bereiche gelesen und verändert werden. In diesem Zusammenhang wird ein Patch angeboten, der jedoch einen Neustart erfordert. Zusätzlich ist ein Workaround verfügbar, der bei einem Neustart verwendet werden kann, das Problem jedoch nicht vollständig abdichtet. [3078609, CVE-2021-37535]
Auch in SAP BusinessOne wurde aufgrund einer Fileuploads-Sicherheitslücke eine Aktualisierung des Workarounds vorgenommen. [3078609, CVE-2021-37535]
Eine hohe Kritikalität besitzt auch die Near-Zero-Downtime-Funktionalität bei S/4HANA. Diese war im letzten Monat ebenfalls Bestandteil des Security Patchdays. Es ist jedoch eine weitere Sicherheitslücke in Form einer fehlerhaften Inputbereinigung entdeckt worden. Aufgrund dieser Sicherheitslücke können Benutzer mit bestimmten Berechtigungen manipulierte Anfragen an die HANA-Backend-Datenbank senden und sie auf diese Weise übernehmen. Neben S/4HANA in allen Releases sind auch andere Produkte im Umfeld einer S/4HANA-Transformation, wie beispielsweise der SAP Test DATA Migration Server betroffen. [3071984, CVE-2021-38176]
Eine weitere kritische Sicherheitslücke im Java-Umfeld betrifft den Visual Composer (CVSS Score 9.9/10) ab NetWeaver Version 7.30. Hier können nicht administrative User Dateien hochladen und Betriebssystem-Kommandos auf dem Server mit den Rechten des Java Server Prozesses ausführen. Folglich können die Daten eingesehen, manipuliert oder unbrauchbar gemacht werden. [3084487, CVE-2021-38163]
Ebenfalls unerwünschte Betriebssystem-Kommandos können in dem SAP Portal ausgeführt werden, wenn in das SAP NetWeaver Knowledge Management ab Version 7.10 speziell präparierte XSL-Stylesheet-Dateien eingereicht werden (CVSS Score 9.9/10). Hier gibt es keinen Workaround, sodass nur der Patch hilft. [CVE-2021-37531]
Wer das SAP Contact Center 7.0 im Einsatz hat, sollte auf verschiedene Sicherheitslücken schauen, die insgesamt auch wegen einer Betriebssystemkommando-Injection mit einem CVSS Score von 9.6/10 bewertet worden sind. [3073891, CVE-2021-33672]
Meine DSAG Live Agenda
Vom 20.09. – 24.09.2021 findet über fünf Tage die DSAGLIVE 2021 statt. An den Vormittagen gibt es Keynotes und Talk-Sessions. Nachmittags folgen mehr als 130 Vorträgen der DSAG-Gremien und -Partner. Wie im letzten Jahr gibt es auch einen virtuellen Ausstellungsbereich mit Partnerständen. Die Gebühren für die Wochentickets belaufen sich auf 145 € für DSAG-Mitglieder und 295 € für Nicht-Mitglieder.
Meine Liste für die fünf Tage:
Tag 1 | Montag, 20.09.2021, mein Schwerpunkt: Security & Vulnerability
- 11:00 Uhr – V01a SAP Security Strategy Update Richard Puckett, SAP America
- 11:45 Uhr – V01b SAP S/4HANA-Berechtigungen – First Steps bei der Migration (Thomas Tiede, IBS Schreiber GmbH)
Tag 2 | Dienstag, 21.09.2021
- 11:00 Uhr Mut zur Veränderung – Warum Change Management ein wichtiger Erfolgsfaktor in Transformationsprojekten ist (Special in Gremium Change Management & Enablement)
Tag 3 | Mittwoch, 22.09.2021, mein Schwerpunkt Cloud Infrastructure und Automatisierung
- 11:00 Uhr V20a Ein kleiner Schritt für ein Allianz-SAP-System. Ein Sprung für Landschaften der Allianz. (Uwe Kaden, Allianz Technology SE)
- 11:45 Uhr V20b SAP on AWS bei Galeria – Erfahrungen nach drei Jahren mit AWS (Rolf Keplinger, Galeria Karstadt Kaufhof GmbH)
Tag 4 | Donnerstag, 23.09.2021, mein Schwerpunkt Application Integration
- 14:15 Uhr V33b Einsatzszenarien SAP Integration Suite bei Krones (Daniel Ruland, Krones AG)
Tag 5 | Freitag, 24.09.2021, meine Themen: Archivierung, Banking und Application Lifecycle Management
- 11:00 / V41a Erfahrungen und Herausforderungen bei SAP ILM Projekten im Bereich Sperren und Löschen via Destruction (Joachim Schniepp, Zeitungsverlag Waiblingen)
- 11:45 / V40b SAP Security, ein Erfahrungsbericht der DVB Bank: Monitoring der SAP-Landschaft (Christof Awater, Kevin Brandis, DVB Bank SE)
- 14:15 V44b Testautomation und Change-Impact-Analyse mit Tricentis Tosca & LiveCompare für SAP-Anwendungen bei der KWS (Tim Grober, KWS SAAT SE & Co. KGaA)
Schaut gerne mal in das vollständige Programm, es ist bestimmt für jeden etwas dabei.
SAP Fiori iOS App
SAP hat mit SAP Mobile Start eine neue App für iOS für den Zugriff auf SAP Fiori Oberflächen herausgebracht. Die App soll die schon länger erhältliche App SAP Fiori Client ablösen, die laut SAP Blog nur noch bis Anfang 2022 im App-Store zur Verfügung stehen soll. Demnächst soll auch eine Android-Version folgen.
Vom Look & Feel gibt es keine Überraschungen. Die App konsolidiert typische Anwendungsszenarien wie Benachrichtigungen, Workflow-Aufgaben sowie Status-Widgets und bietet mobilen Zugriff auf Fiori Applikationen inklusive der Suchfunktion. Durch einen Dienst, der in der Business Technology Platform (BTP) läuft und Nachrichten abstrahiert und vereinheitlicht, soll dies auch applikationsübergreifend sein. Der Vorteil bestünde darin, dass in einigen Szenarien auf den Rollout von individuellen Apps (z.B. für S/4HANA on Premise und SuccessFactors aus der Cloud) verzichtet werden könnte.
Wer mehr als die Demo ausprobieren möchte, kann auch die Verbindung zu einer eigenen Business-Technology-Platform-Trail-Version aufbauen. Dort kann die Funktion aktiviert werden und die Verbindung wird daraufhin über das Scannen eines QR-Codes hergestellt. Lizenztechnisch ist SAP Mobile Start in der Launchpad service subscription enthalten.
Pentest-Werkzeug Infection Monkey simuliert Ransomware-Angriffe
Das Tool Infection Monkey kann genutzt werden, um tatsächliche Verschlüsselungsangriffe zu simulieren, um z.B. Verteidigungsmaßnahmen zu testen. Sicherlich interessant ist es zu sehen, ob die Versprechungen, die z.B. auch bei den Microsoft Services genannt werden, tatsächlich stimmen. Allerdings: Die Produktionssysteme sollte man damit möglichst nicht berühren, auch wenn die Verschlüsselung umkehrbar ist. Weitere Infos zu dem Thema findet ihr auf heise.de oder auf quardicore.com.
Fortbildungsmöglichkeiten SAP Berechtigungen bequem von zu Hause
Letzte Chance: SAP-Berechtigungen inkl. Fiori Online Training
Unser beliebtes Online-Training geht in die nächste Runde. Der Kurs startet ab dem 22.09.2021 und findet immer Mittwochnachmittag an sechs Terminen (jeweils 1 Stunde) statt. Es sind noch wenige Plätze frei. Hier mehr Informationen und Link zur Anmeldung.
Crashkurs S/4HANA und Fiori Berechtigungen (Online-Classroom)
In unserem Crashkurs S/4HANA und Fiori Berechtigungen erhalten Sie in einem halbtägigen Online-Learning alle nötigen Infos, um das neue Fiori-App-Konzept der SAP und S/4HANA skalierbar und optimal zu berechtigen. Die nächsten Termine findet am 12.10 und 17.11 statt: Zur Anmeldung
Wie immer gibt es weitere Tipps und Hinweise auf unserer Website oder auf unserem YouTube-Kanal. Außerdem freue ich mich auch über Feedback per Mail an harmes@rz10.de.