Lever Security Notes upp till sitt namn?

Varje månad publicerar SAP nya Security Notes. Många SAP-administratörer är snabba med att installera dessa korrigeringar. Den enda frågan som uppstår är - tror du på den säkerhet som de tillhandahåller?

I dagens artikel besvarar vi frågan: kommer säkerhetsbrister att fortsätta att utnyttjas i en sådan situation?

I OSS note 1908870 - SACF | Workbench for Switchable Authorisation Scenarios har SAP utvecklat en central lösning för verifiering av omkopplingsbehörigheter. Detta gör att behörigheter för specifika funktioner kan kontrolleras först när kunden aktiverar dem. Tanken är att minska påverkan på etablerade behörighetskoncept.

Tyvärr är det få kunder som vet att en patch som utformats på det här sättet kommer att förbli inaktiv efter att OSS-notisen har implementerats. Med andra ord - de förbättrade behörighetskontrollerna (som är utformade för att minska risken) kan inte utföra sin avsedda funktion. Följden blir att den relevanta säkerhetsbristen fortfarande är aktiv och kan utnyttjas.

Kompatibilitet med kundprogram

Med SUCC-transaktioner kan kunden definiera scenarier för den anpassade programvara som används. Scenariobaserad behörighetskontroll gör det möjligt för utvecklare att förbättra standardprogramvara med alternativ behörighetskontroll för behörighetsobjekt.

Användningen av behörighetsväxling i klientprogram öppnar upp för möjligheten att utveckla och uppdatera ABAP-program och behörighetsroller i separata miljöer.

Glöm inte - omkopplingsbara fullmakter måste aktiveras!

SACF-transaktionen möjliggör aktivering av fördefinierade behörighetskontroller, vilket inkluderar behörighetsspårning och SAL-integration.

Av säkerhetsskäl rekommenderas att alla definierade scenarier (utom „SACF_DEMO_SCENARIO”) implementeras som „live”-scenarier. Här måste revisorerna jämföra antalet definierade scenarier med antalet „skarpa” scenarier och göra en noggrann utvärdering.