Alles ruhig soweit | SAP Security Patchday Februar 2023
Autor: Tobias Harmes | 15. Februar 2023
Am 14.02.2023 war der zweite SAP Security Patchday in diesem Jahr. Wie jeden zweiten Dienstag im Monat gab es aktuelle Security-Hinweise, diesmal 21 neue Security-Hinweise und zusätzlich fünf Updates von zuvor veröffentlichten Hinweisen. Diesmal hatten Admins noch Zeit für den Kauf von Blumen – sofern sie mit der Welle aus dem Januar schon durch sind.
Diesen Monat habe ich keine große Liste von Hot News im Gegensatz zum Januar, deshalb auch nur ein kurzer Beitrag. Aber es gibt natürlich trotzdem eine Liste von wichtigen Updates. Ich empfehle (wie immer) ein kurzes Überfliegen des offiziellen PDFs um herauszufinden, ob es relevante Hinweise für in der eigenen Landschaft eingesetzte SAP Lösungen gibt. Alternativ erhält man auch eine Übersicht über das Support-Portal mit dem Expert-Filter oben „Patch Day“. Die Informationen aus 2022 wurde in einem eigenen PDF archiviert.
Nur eine (alte) Hot News für den SAP Business Client
Hot News sind die Security-Hinweise mit der höchsten Gefahreneinschätzung, und davon gab es diesmal nur einen, den Hinweis 2622660 – Security updates for the browser control Google Chromium delivered with SAP Business Client. Das ist ein alter bekannter und hat nur deshalb den CVSS-Score 10/10, weil irgendwann in der langen Historie dieses Hinweises einer Sicherheitslücke im Chromium-Browser-Engine von Google ebenfalls ein solcher Score zugeordnet war.
Wenn der Business Client im Einsatz ist, dann empfehle ich auch unbedingt einen Blick auf die neue SAP GUI 8.0 und den neuen SAP Business Client 8.0 zu werfen. Diese können den Chromium-Engine des Microsoft Edge-Browsern nutzen – der wiederum mit dem Betriebssystem aktualisiert werden soll. Das könnte in Zukunft einiges an Patcharbeit sparen.
Security Notes Webinare auf Deutsch und Englisch
Frank Buchholz von der SAP veranstaltet zusammen mit der DSAG und der ASUG regelmäßig ein Security Notes Webinar und gibt dort auch Tipps, was man beim Patching der Systeme beachten soll und wie man den Patch-Fortschritt kontrollieren bzw. den Patch-Zustand von Systemen in einer Landschaft feststellen kann.
Für den Februar ist ein Webinar auf Englisch bei der ASUG am 22.02.2023 und auf Deutsch auf Deutsch bei der DSAG für den 23.02.2023 angesetzt. Ergänzende Informationen zu einzelnen Hinweisen gibt es im SAP Support Security Wiki. Dort findet man auch Links zu älteren Patch Days und Webinaren.
Unterlagen und Links
- Offizielle Übersicht SAP Patchday (PDF)
- SAP Support Security Notes Webinar – 2023-02
- Recommended Security Configurations for SAP Cloud Services
- Heißer Jahresstart: Business Objects, JAVA und ABAP Schwachstellen | SAP Security Patchday Januar 2023
Demnächst…
Im März veranstalten wir einen Networking Lunch zum Thema „SAP Security 2023“ Dort wollen wir mit Ihnen in den Austausch gehen:
- Was sind aktuelle Herausforderungen?
- Wie setzen das andere Unternehmen um?
- Was sind die Tipps und Tricks für mehr Sicherheit?
Neben zwei verschiedenen Fachvorträgen haben Sie während des Mittagessens, der Kaffeepausen und des Speedcoachings genug Zeit, sich mit den anderen Teilnehmenden sowie mit unseren Beratern über dieses Thema auszutauschen. Hier finden Sie mehr Infos und die Möglichkeit zur kostenlosen Anmeldungen: https://rz10.de/event/networking-lunch-sap-security/
Wir berichten außerdem regelmäßig über SAP Sicherheit aus der Praxis. Unsere Webinare finden Sie hier.
