SAP Router herunterfahren | SAP Security Patchday Juni 2022

Autor: Tobias Harmes | 15. Juni 2022

11

Am 14.06.2022 war wieder wie jeden zweiten Dienstag im Monat der SAP Security Patchday. Es gab diesmal zehn neue Security-Hinweise und zusätzlich zwei Updates von zuvor veröffentlichten Hinweisen. Der einzige Hinweis mit der höchsten Priority-Einstufung „Very High“ ist der Dauergast SAP Business Client.

Normalerweise schaue ich nur auf die Hinweise mit der höchsten Einstufung, allerdings ist das erfreulich übersichtlich in diesem Monat. Ich empfehle allen ein kurzes Überfliegen des aktuellen PDFs. Anscheinend nimmt man seit diesem Monat auch Abstand von der Einstufung „Hot News“, diese heißt offensichtlich nun „Very High“.

SAP Business Client mit unklarem Rating

Die höchste Einstufung „Very High“ mit einem CVSS von 10/10 hat der Hinweis 2622660 – Security updates for the browser control Google Chromium delivered with SAP Business Client. Nur der ist seit 2018 immer wieder aktualisiert worden. Und aktuell ist nicht mal klar, ob der hier relevante, von Google aktualisierte Chromium Engine, einen hohen CVSS-Score hat. Zitat: „No confirmed CVSS rating available at the time of update of this SAP Security Note.“ Trotzdem schadet es nicht, wie immer den Business Client zu aktualisieren.

SAP Router remote herunterfahren

Weil der SAP Router in vielen Kundennetzen ein wichtiges Perimeter-System ist (und sonst nix los ist), schaue ich noch auf den Hinweis 3158375 – [CVE-2022-27668] Improper Access Control of SAProuter for SAP NetWeaver and ABAP Platform Normalerweise lässt der SAPRouter nur lokale Administration zu. Verwendet man allerdings Wildcards in der saprouttab, können auch Unberechtigte z.B. den SAP Router aus der Ferne herunterfahren. Und das dürfte dann unerfreuliche Nachfragen von Anwendern erzeugen. Lösung ist hier auf Wildcards zu verzichten und ein Update durchzuführen.

Laut einem Eintrag im SCN-Wiki werden die Patchdays nicht mehr direkt im Wiki sondern ein in einem nervigen Viewer eingebettetes PDF veröffentlicht. Ab Juli 2022 dann nicht mehr morgens um 03 Uhr, sondern ab 09 Uhr deutscher Zeit. Der jeweils neueste Patchday ist dann im Dokument ganz oben.

Demnächst…

Wir berichten regelmäßig über SAP Sicherheit aus der Praxis. Die nächsten Webinare sind:


Artikel war hilfreichArtikel empfehlen

Dieser Beitrag ist auch als Download verfügbar:
Tobias Harmes

Autor

Tobias Harmes

Experte, Speaker, Herausgeber rz10.de

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Weitere Beiträge:

SAP Security

SAP Security Patchday März 2022

SAP Security Patchday März 2022. Web Dispatcher, Log4j und SAP Focused Run Agents für Adminzugriff. Jetzt lesen!
Artikel lesen
SAP Security

Spring4Shell und alte Bekannte | SAP Security Patchday April 2022

Diesmal zwölf neue Security Hinweise und zehn Updates von zuvor veröffentlichten Hinweisen. Dreieinhalb der sieben Hot News sind Updates.
2
Artikel lesen
SAP Security

Sommerloch | SAP Security Patchday August 2022

Am 09.08.2022 war wieder wie jeden zweiten Dienstag im Monat der SAP Security Patchday. Es gab diesmal fünf neue Security-Hinweise.
Artikel lesen

Unsere Top-Downloads

E-Book

E-Book SAP Security und Berechtigungen

Kostenloses E-Book
SAP Security& Berechtigungen
Download
Circa 250 Fachartikel aus rund neun Jahren auf rund 1.000 Seiten – Tipps, Tricks und Tutorials mit Screenshots aus echten SAP Systemen.
kostenlos downloaden
E-Book

E-Book SAP Berechtigungstools

Kostenloses E-Book
Unser E-Book zum Thema SAP Berechtigungstools
Download
So wählen Sie Ihr SAP Berechtigungstool aus – in 3 Schritten zum neuen Berechtigungstool.
#podcast, #story
kostenlos downloaden
E-Book

E-Book SAP Solution Manager

Kostenloses E-Book
SAP Solution Manager
Download
Dieses E-Book beinhaltet für Sie von uns ausgewählte Fachartikel rund um das Thema SAP Solution Manager.
kostenlos downloaden
Kontaktieren Sie uns!
Renate Burg Kundenservice
0211 9462 8572-25 renate.burg@rz10.de Ihre Anfrage