Zum letzten Patchday des Jahres hat SAP drei ältere Sicherheitshinweise aktualisiert und neun neue herausgegeben. Darunter ist auch eine Hot News-Schwachstelle, die ein hochkritisches Sicherheitsrisiko darstellt. IT-Verantwortliche sollten die verfügbaren Updates schnellstmöglich einspielen!

SAP Hot News im Dezember 2024

Hinweis 3536965  – Mehrere Sicherheitslücken in SAP NetWeaver AS für JAVA (Adobe Document Services)

[CVE-2024-47578] mit CVSS Score 9.1, sowie [CVE-2024-47579] und [CVE-2024-47580] mit CVSS Score 6.8

In den SAP NetWeaver AS for JAVA Adobe Document Services (Version ADSSSAP 7.50) sind gleich drei Schwachstellen enthalten, wobei zwei davon mit einem CVSS-Wert von jeweils 6.8 nur als mittelschweres Risiko eingestuft werden. Die gravierendste Sicherheitslücke wird jedoch als Hot News mit 9.1 bewertet und ermöglicht einem Angreifer mit Administratorrechten über eine anfällige Webanwendung eine manipulierte Anfrage zu senden und sich so Zugang zu internen Systemen hinter Firewalls zu verschaffen. Durch das Ausnutzen dieser Server-Side Request Forgery können beliebige Dateien gelesen oder verändert und/oder das gesamte System lahmgelegt werden.

Spielen Sie unbedingt zeitnah den Patch ein!

Vier weitere Hinweise mit Priority „High“ veröffentlicht

Darüber hinaus sind vier Schwachstellen mit Score 7.2 bis 8.8 aufgeführt (zwei neue und zwei Updates), die ebenfalls rechtzeitig durch das Einspielen der verfügbaren Updates geschlossen werden sollten. Schauen Sie sich hier die vollständige Liste der „Security Patch Day December 2024 Notes“ an.

SAP HotNews Prio für HANA DB – Zwischenmeldung vom 28. November

Außerdem gab es Ende November noch eine außerplanmäßige Hot News Prio Note für HAN-DB (SAP HANA > SAP-HANA-Datenbank), Version: 5, die nicht in der Patchliste enthalten, aber dennoch wichtig ist:

Hinweis 3545225 – Fehlende Einträge nach Batch UPSERT in nicht partitionierter Spaltentabelle mit BEFORE-Trigger

Aufgrund eines Programmfehlers in SAP HANA wird beim Ausführen einer UPSERT-Anweisung im Batch-Modus für eine nicht partitionierte Tabelle mit definiertem BEFORE-Trigger der INSERT-Teil der UPSERT-Anweisung nicht korrekt ausgeführt. Es wurde festgestellt, dass einige Dateneinträge in der Zieltabelle fehlten. Betroffene Releases: SAP HANA 2, Revisionen = 080.00 (SPS08)

Wenn Ihr System von diesem Problem beeinträchtigt ist, gehen Sie wie folgt vor:

1. Stellen Sie die Datenbank auf einen Zeitpunkt zurück, zu dem die UPSERTs ausgeführt wurden (z.B. vor dem SUM-, NZDM-, ZDO-Workflow).

2. Importieren Sie die temporäre Lösung oder führen Sie ein Upgrade auf eine Revision durch, die die permanente Lösung enthält (sobald vorhanden).

3. Führen Sie den UPSERT-Workflow erneut aus (z.B. SUM, NZDM, ZDO Workflow erneut ausführen).

SAP-Behelfslösung:

Deaktivieren Sie die Batch-Optimierung für Upsert-Operationen, indem Sie den Parameter sql/cs_equi_cond_upsert_optimization_batch_size auf einen Wert setzen, der größer ist als die maximal mögliche Batch-Größe.

ALTER SYSTEM ALTER CONFIGURATION (‚indexserver.ini‘, ‚SYSTEM‘ ) SET (’sql‘, ‚cs_equi_cond_upsert_optimization_batch_size‘) = ‚2147483648‘ WITH RECONFIGURE COMMENT ‚SAP-Hinweis 3545225.

Dieser Parameter kann online gesetzt werden und erfordert keinen SAP-HANA-Neustart, um wirksam zu werden. Beachten Sie jedoch, dass das Einspielen des Workarounds die Ausführung von UPSERT-Batch-Jobs in Bundles verhindert. Die Änderung kann sich auf die Performance Ihres Jobs auswirken.

Setzen Sie die Behelfslösung zurück, sobald Sie ein Upgrade durchgeführt haben, das die dauerhafte Lösung enthält.

ALTER SYSTEM ALTER CONFIGURATION (‚indexserver.ini‘, ‚SYSTEM‘) UNSET (’sql‘, ‚cs_equi_cond_upsert_optimization_batch_size‘) WITH RECONFIGURE COMMENT ‚SAP Hinweis 3545225‘

Zum Schutz Ihrer SAP-Landschaften empfiehlt SAP dringend, das Support Portal zu besuchen und Patches vorrangig einzuspielen.

Für weitere Informationen oder zur generellen Unterstützung beim Patchen Ihrer Systeme kontaktieren Sie uns gerne.

Ältere Hot News Notes