Thomas Fritsch

Weitere SAP BTP , die von einer im Dezember 2023 gemeldeten kritischen Sicherheitslücke zur Rechteausweitung betroffen sind

Wichtiger Patch für die Integrationsbibliotheken der SAP BTP Services

Ein sehr ruhiger Patch-Tag mit einem kritischen Patch für SAP Business One

Tools zur Codesicherheit müssen eine Datenflussanalyse durchführen, um Schwachstellen wie SQL-Injection, OS-Command-Injection, Code-Injection und Directory Traversal zu identifizieren. Die marktführende Lösung Onapsis C4CA und andere auf dem Markt erhältliche Tools verfolgen unterschiedliche Ansätze hinsichtlich dieser Datenflussanalyse und der daraus resultierenden Verwaltung der Ergebnisse. Während einige Tools lediglich eine lokale Datenflussanalyse durchführen, führt C4CA optional eine globale Datenflussanalyse durch.

Der SAP-Patch-Day im Oktober verlief äußerst ruhig. Die einzige „Hot News Note“ ist eine Aktualisierung des SAP-Sicherheitshinweises Nr. 2622660, der regelmäßige Patches für den SAP Business Client enthält, darunter die neuesten getesteten Chromium-Patches. Die übrigen veröffentlichten SAP-Sicherheitshinweise haben mittlere Priorität.

Wichtige Patches für SAP BusinessObjects und SAP CommonCryptoLib veröffentlicht

Neuer HotNews-Hinweis für SAP PowerDesigner und wichtiges Update zum HotNews-Hinweis vom Juli

Wichtige Patches für IS-OIL, Solution Manager, Web Dispatcher und ICM

SAP-Kunden verlassen sich häufig ausschließlich auf S_RFC-Berechtigungen, um den Zugriff auf Geschäftsdaten über RFC-fähige Funktionsbausteine (RFC-FMs) zu schützen. Dies ist riskant, da S_RFC-Berechtigungen aufgrund der Komplexität von Geschäftsszenarien oft sehr allgemein vergeben werden (RFC_NAME = ‚*‘). Ein weiterer Grund für die mangelnde Granularität von S_RFC-Berechtigungen ist, dass S_RFC-Berechtigungen in der Vergangenheit nur auf Funktionsgruppenebene eingeschränkt werden konnten.