SAP Security Patch, cosa sono e come applicarle?

Posted by Massimo Manara on May 13, 2020 8:15:00 AM
Massimo Manara
Find me on:

 

In ogni software possono essere presenti delle vulnerabilità più o meno critiche.

SAP Security Patches

 

È importante, al fine di avere dei sistemi senza vulnerabilità note esposte e sfruttabili da terzi, tenere sempre costantemente aggiornate i propri sistemi.

 

Ma quali sono le vulnerabilità dei sistemi SAP? Dove posso trovare quelle note e capire se il mio sistema è aggiornato?

Cosa sono le SAP Security note?

Anche SAP come altri vendor ha un giorno pianificato dei rilasci periodici per risolvere problematiche di sicurezza dei software rilasciati.

 

Le patch vengono rilasciate da SAP tramite delle note.

 

Queste sono dei documenti pubblicati sul portale SAP al quale ogni cliente ha accesso. Viene indicato cosa deve essere fatto a livello di configurazione oppure cosa deve essere fatto a livello di correzione di programmi.

 

Per risolvere una determinata vulnerabilità presente.

 

Ogni secondo martedì del mese vengono pubblicate le SAP Security Patch.

 

Più in generale le:

  • SAP security Patch sono quelle più critiche e vengono pubblicate ogni mese, spesso queste sono quelle scoperte da ricercatori esterni
  • Support Package Implementation Notes (SPIN)
    • Contengono patch di livelli più bassi e spesso identificate internamente da SAP

 

Dove posso trovare le SAP Security note?

Esistono due punti principali dove vedere le security note:

 

Ma qual è la differenza?

 

A livello di contenuti, nessuna.

 

Il primo sito è specifico del cliente e quindi le security note possono essere personalizzate e viste in base ai sistemi che hai installato, i tuoi.

 

SAP Security Notes

 

Sono mostrate tutte le security notes ma possono essere filtrate anche per sistema

 

SAP Security Patches

 

Nel secondo sito, essendo pubblico, sono presenti tutte le security note relative alle patch identificate. Indipendentemente dai sistemi che hai installato tu.

 

CVSS cosa è?

Si tratta di un framework internazionale per classificare le vulnerabilità (CVSS Common Vulnerability Scoring System) può essere applicato a diversi sistemi e tecnologie.

 

Anche SAP utilizza questo framework per classificare le vulnerabilità dei propri software.

 

Ecco come sono calcolate le vulnerabilità SAP rispetto alla classificazione CVSS (sulla destra)

  • LOW -> 0.1 a 3.9
  • MEDIUM -> 4.0 a 6.9
  • HIGH -> 7.0 a 8.9
  • HOT NEW -> 9.0 a 10.0

 

Come applicare le SAP Security Notes?

Possono essere applicate utilizzando la transazione SNOTE (o anche SUM Software Update Manager), questi strumenti solitamente sono gestiti dai sistemisti.

 

Posso applicarle subito o devono svolgere dei test?

In generale le security note non comportano blocchi di sistema, tuttavia devono essere analizzate al fine di individuare parti che potrebbero impattare sull'operatività.

 

Tramite il SAP Solution Manager è possibile attivare due moduli (serve svolgere delle configurazioni ad hoc) che permettono di agevolare questo compito:

 

  • Usage And Procedure Logging (UPL)
  • Business Process Change Analyzer (BPCA)

 

Ma da dove partire?

Utilizza gli strumenti che hai a disposizione identificando le vulnerabilità attive e più gravi, partendo da quelle.

 

Ricordati che lo strumento RSECNOTE utilizzabile tramite la transazione ST13 è diventato obsoleto e quindi non conviene utilizzarlo.

 

Iscriviti al blog se ancora non lo hai fatto!

 

 

Topics: sap patch, sap security note, sap support package

Voglio iscrivermi!

Blog Aglea, cosa puoi trovare?

Ogni mercoledì pubblichiamo articoli, interviste e documenti relativi alla security SAP.

Cosa puoi trovare:

  • Suggerimenti su come mettere in sicurezza i sistemi SAP
  • Come fare a … (How To)
  • Checklist
  • Gli errori comuni che spesso vengono fatti in ambito Security SAP
  • Interviste con esperti del settore
  • Chi è AGLEA quale è la nostra vision security SAP

Post recenti

Post By Topic

Visualizza tutto