SAP Router herunterfahren | SAP Security Patchday Juni 2022

Autor: Tobias Harmes | 15. Juni 2022

16

Am 14.06.2022 war wieder wie jeden zweiten Dienstag im Monat der SAP Security Patchday. Es gab diesmal zehn neue Security-Hinweise und zusätzlich zwei Updates von zuvor veröffentlichten Hinweisen. Der einzige Hinweis mit der höchsten Priority-Einstufung „Very High“ ist der Dauergast SAP Business Client.

Normalerweise schaue ich nur auf die Hinweise mit der höchsten Einstufung, allerdings ist das erfreulich übersichtlich in diesem Monat. Ich empfehle allen ein kurzes Überfliegen des aktuellen PDFs. Anscheinend nimmt man seit diesem Monat auch Abstand von der Einstufung „Hot News“, diese heißt offensichtlich nun „Very High“.

SAP Business Client mit unklarem Rating

Die höchste Einstufung „Very High“ mit einem CVSS von 10/10 hat der Hinweis 2622660 – Security updates for the browser control Google Chromium delivered with SAP Business Client. Nur der ist seit 2018 immer wieder aktualisiert worden. Und aktuell ist nicht mal klar, ob der hier relevante, von Google aktualisierte Chromium Engine, einen hohen CVSS-Score hat. Zitat: „No confirmed CVSS rating available at the time of update of this SAP Security Note.“ Trotzdem schadet es nicht, wie immer den Business Client zu aktualisieren.

SAP Router remote herunterfahren

Weil der SAP Router in vielen Kundennetzen ein wichtiges Perimeter-System ist (und sonst nix los ist), schaue ich noch auf den Hinweis 3158375 – [CVE-2022-27668] Improper Access Control of SAProuter for SAP NetWeaver and ABAP Platform Normalerweise lässt der SAPRouter nur lokale Administration zu. Verwendet man allerdings Wildcards in der saprouttab, können auch Unberechtigte z.B. den SAP Router aus der Ferne herunterfahren. Und das dürfte dann unerfreuliche Nachfragen von Anwendern erzeugen. Lösung ist hier auf Wildcards zu verzichten und ein Update durchzuführen.

Laut einem Eintrag im SCN-Wiki werden die Patchdays nicht mehr direkt im Wiki sondern ein in einem nervigen Viewer eingebettetes PDF veröffentlicht. Ab Juli 2022 dann nicht mehr morgens um 03 Uhr, sondern ab 09 Uhr deutscher Zeit. Der jeweils neueste Patchday ist dann im Dokument ganz oben.

Demnächst…

Wir berichten regelmäßig über SAP Sicherheit aus der Praxis. Die nächsten Webinare sind:


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Tobias Harmes

Autor

Tobias Harmes

Experte, Speaker, Herausgeber rz10.de

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice