Willkommen im SAP Forum
SAP-Stern freischalten – Notfallbenutzer SAP* in SAP NetWeaver aktivieren - Link zum Blogartikel
vor 10 Jahren
Stephan Goldstein
# 1 - vor 9 Jahren
Der Initialuser SAP* ist eine Systemschwachstelle im SAP (schon zu R2-Zeiten) und muss gesondert unter Kontrolle gehalten werden. Der Verweis auf die absolute Notfall-Lösung über SQL ist schon fast ein Anreiz zum Ausleben von krimineller Energie! So etwas sollte nicht veröffentlicht werden!
# 2 - vor 9 Jahren
Hallo Herr Goldstein.
Vielen Dank für Ihren Hinweis. Ich stimme Ihnen absolut zu bei dem Hinweis, dass der sap*-User besonders kontrolliert werden muss (am Besten automatisiert). Unsere Anleitung unterstreicht die Notwendigkeit dafür. Unsere Sicherheitskonzepte, die wir für Kunden entwickeln, weisen auch immer darauf hin, dass "die Sache gelaufen ist" wenn jemand das Level des SQL-Zugriff in Produktion erreicht.
Mit freundlichen Grüßen,
Tobias Harmes
Harald Rautemann
# 3 - vor 5 Jahren
Hallo,
ich bin vor wenigen Tagen auf zwei Artikel mit gleicher bzw. ähnlicher Thematik gestoßen und da ist mir gleich wieder dieser Artikel bei rz10 eingefallen, zumal hier auch ein Vorwurf bzgl. der Veröffentlichung sicherheitskritischer Interna geäußert wurde. Nun, wenn das so sein sollte, der oder die Autoren der neulich gelesenen Artikel haben definitiv weniger Skrupel als der Autor dieses Artikels bzgl. sicherheitsrelevanter Informationen zu SAP-Systemen.
Die Artikel befassen sich mit einem Bypass-Verfahren des SAP*-Users bzw. des Profilparameters login/no_automatic... sowie der Ausnutzung einer Schwachstelle bei dem Hash-Verfahren der Passwort-Verschlüsselung. Nachzulesen auf shortcut-it.com, und dort im Blog. Ich fand das schon etwas bedenklich... vielleicht aber auch bekannt.
Bei der Gelegenheit aber auch ein Danke an rz10, hier habe ich schon viele nützliche Infos gefunden!
Kommentar verfassen