Mai 2024

bash script für den NETCAT Verbindungstest zu einem SAP S/4HANA System

Kommentar verfassen / SAP / Von

Das Skript ist hilfreich für die automatisierte Überwachung der SAP-Systemverbindung und die Protokollierung von Verbindungsereignissen, was es ideal für Systemadministratoren macht, um die Verfügbarkeit und Integrität ihrer SAP-Systeme sicherzustellen. Das Bash-Skript überprüft die Verbindung zu einem MessageServer einer SAP-Systeminstanz. Hier ist eine Zusammenfassung seiner Funktionalitäten:

Verbindungstest: Das Skript testet die nc-Verbindung zu einem MessageServer einer SAP-Systeminstanz. Es verwendet die Funktion check_connection, um die Verbindung zu überprüfen.

Protokollierung: Das Skript protokolliert die Testergebnisse in zwei Dateien: connectiontest.txt enthält alle Testergebnisse, während connectiontest-failed.txt nur fehlgeschlagene Verbindungsversuche speichert.

Benachrichtigung bei Verbindungsfehlern: Bei einem Verbindungsfehler sendet das Skript eine E-Mail-Benachrichtigung an die angegebene E-Mail-Adresse.

Bereinigung alter Einträge: Das Skript löscht alte Zeitstempel aus der Protokolldatei connectiontest.txt nach 10 Tagen, um die Datei sauber zu halten und Speicherplatz zu sparen.

Endlosschleife für wiederholte Tests: Das Skript enthält eine auskommentierte Endlosschleife, die den Verbindungstest in regelmäßigen Abständen ausführt. Diese Funktion kann aktiviert werden, um kontinuierlich die Verbindung zu überwachen. Es ist empfohlen einen cronjob zu erstellen.

Beendigung von nc-Sitzungen: Nach Abschluss des Skripts beendet es alle laufenden nc-Sitzungen des aktuellen Benutzers.

bash script für den NETCAT Verbindungstest zu einem SAP S/4HANA System Read More »

SAP Security Patchday Mai 2024 | Customer Experience (CX) SAP_BASIS NetWeaver Application Server ABAP

Kommentar verfassen / SAP, SAP Security Patch Day / Von

Am 14. Mai 2024 veröffentlichte SAP 14 neue Sicherheitshinweise und aktualisierte 3 bereits bestehende Hinweise. Diese Hinweise behandeln Schwachstellen in verschiedenen SAP-Produkten, die dringend behoben werden sollten.

Ein besonders kritischer Sicherheitshinweis betrifft SAP Customer Experience (CX) mit einem CVSS-Wert von 9,8. In CX Commerce wurden zwei Schwachstellen identifiziert. Die erste ist eine CSS Injection Schwachstelle, die es Angreifern ermöglicht, die Relative Path Overwrite (RPO)-Technik in CSS-basierten Eingabefeldern zu nutzen, was hohe Risiken für die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung darstellt. Die zweite Schwachstelle betrifft eine unsachgemäße Initialisierung in SAP CX Commerce, das Apache Calcite Avatica 1.18.0 verwendet. Diese Schwachstelle kann zur Remote Code Execution führen, da der JDBC-Treiber HTTP-Client-Instanzen basierend auf unüberprüften Klassennamen erstellt, was zur Ausführung von beliebigem Code führen kann.

Die betroffene Version von CX Commerce verwendet Swagger UI vor Version 3.23.11 und Apache Calcite Avatica vor Version 1.22.0. Die einzige Test-Erweiterung, die Swagger UI 3.20.1 verwendet, wurde vollständig entfernt und Avatica-core wurde durch ein Update von Solr auf 8.11.3 auf Version 1.23.0 aktualisiert. Der Fix für beide Bibliotheken ist im neuesten Patch, SAP Commerce Cloud Patch Release 2205.24, verfügbar.

Ein weiterer wichtiger Hinweis betrifft den SAP_BASIS NetWeaver Application Server ABAP mit einem CVSS-Wert von 9,6. Hier kann ein nicht authentifizierter Angreifer eine bösartige Datei hochladen, die bei Zugriff durch ein Opfer das System vollständig kompromittieren kann. Betroffen sind die Inhaltsrepositories „FILESYSTEM“ und „SOMU_DB“, die mit der Option „Keine Signatur“ konfiguriert sind. Die Korrektur implementiert eine sichere Standardkonfiguration. Diese Konfiguration gilt jedoch nur für Neuinstallationen. Nach einem Update müssen Administratoren die Änderungen manuell vornehmen. Es wird dringend empfohlen, die im Sicherheitshinweis beschriebenen Korrekturen anzuwenden.

Ein weiterer Sicherheitshinweis betrifft die SAP Business Objects Business Intelligence Platform, die anfällig für Stored XSS (Cross-Site Scripting) ist. Diese Schwachstelle ermöglicht es Angreifern, Parameter in der Opendocument-URL zu manipulieren, was erhebliche Beeinträchtigungen der Vertraulichkeit und Integrität der Anwendung zur Folge haben kann. Die benutzerdefinierten Eingabeparameter in der Opendocument-URL wurden bereinigt. Es wird empfohlen, die genannten Support Packages und Patches zu implementieren.

SAP Security Patchday Mai 2024 | Customer Experience (CX) SAP_BASIS NetWeaver Application Server ABAP Read More »

security.txt Generator für Unternehmen

Kommentar verfassen / Security / Von

Unser security.txt Generator nach RFC 9116 ist benutzerfreundlich und bietet eine maßgeschneiderte Erstellung der security.txt Datei an. Sie brauchen keine umfangreichen technischen Kenntnisse, um von diesem Service zu profitieren. Die Datei wird gemäß den neuesten Standards der Internet Engineering Task Force (IETF) erstellt und kann wichtige Informationen wie Kontaktangaben, Richtlinien zur Meldung von Schwachstellen und ggf. Verschlüsselungsinformationen enthalten.

Diese Datei dient als direkte Kommunikationsbrücke zwischen Sicherheitsforschern und Ihrem Unternehmen, um Schwachstellen effizient und sicher zu melden. Eine klar definierte Kontaktmöglichkeit auf Ihrer Website kann entscheidend sein, um potenzielle Sicherheitsrisiken schnell zu adressieren und zu beheben.

Wenn Forscher Sicherheitslücken entdecken, mangelt es oft an geeigneten Meldekanälen. Daher kann es sein, dass Schwachstellen nicht gemeldet werden. Dieses Dokument definiert ein maschinenlesbares Format („security.txt“), um Organisationen dabei zu helfen, ihre Praktiken zur Offenlegung von Sicherheitslücken zu beschreiben, um Forschern die Meldung von Sicherheitslücken zu erleichtern.

security.txt Generator für Unternehmen Read More »

Nach oben scrollen