{"id":37886,"date":"2024-12-10T06:34:29","date_gmt":"2024-12-10T14:34:29","guid":{"rendered":"https:\/\/pathlock.com\/?p=37886"},"modified":"2026-03-05T08:58:12","modified_gmt":"2026-03-05T13:58:12","slug":"sap-security-patchday-hot-news-note-im-dezember","status":"publish","type":"post","link":"https:\/\/pathlock.com\/de\/sap-security-patchday-hot-news-note-im-dezember\/","title":{"rendered":"SAP Security Patchday: Ein neuer Hot News Hinweis im Dezember\u00a0"},"content":{"rendered":"\n

Zum letzten Patchday des Jahres hat SAP drei \u00e4ltere Sicherheitshinweise aktualisiert und neun neue herausgegeben. Darunter ist auch eine Hot News-Schwachstelle<\/strong>, die ein hochkritisches Sicherheitsrisiko darstellt. IT-Verantwortliche sollten die verf\u00fcgbaren Updates schnellstm\u00f6glich einspielen!<\/p>\n\n\n\n

SAP Hot News im Dezember 2024<\/strong><\/h2>\n\n\n\n

Hinweis <\/strong>3536965<\/strong><\/a> \u00a0– Mehrere Sicherheitsl\u00fccken in SAP NetWeaver AS f\u00fcr JAVA (Adobe Document Services) <\/strong><\/p>\n\n\n\n

[CVE-2024-47578<\/a>] mit CVSS Score 9.1, sowie [CVE-2024-47579<\/a>] und [CVE-2024-47580<\/a>] mit CVSS Score 6.8<\/p>\n\n\n\n

In den SAP NetWeaver AS for JAVA Adobe Document Services (Version ADSSSAP 7.50) sind gleich drei Schwachstellen enthalten, wobei zwei davon mit einem CVSS-Wert von jeweils 6.8 nur als mittelschweres Risiko eingestuft werden. Die gravierendste Sicherheitsl\u00fccke wird jedoch als Hot News mit 9.1 bewertet und erm\u00f6glicht einem Angreifer mit Administratorrechten \u00fcber eine anf\u00e4llige Webanwendung eine manipulierte Anfrage zu senden und sich so Zugang zu internen Systemen hinter Firewalls zu verschaffen. Durch das Ausnutzen dieser Server-Side Request Forgery k\u00f6nnen beliebige Dateien gelesen oder ver\u00e4ndert und\/oder das gesamte System lahmgelegt werden.<\/p>\n\n\n\n

Spielen Sie unbedingt zeitnah den Patch ein!<\/p>\n\n\n\n

Vier weitere Hinweise mit Priority \u201eHigh\u201c ver\u00f6ffentlicht<\/strong><\/h2>\n\n\n\n

Dar\u00fcber hinaus sind vier Schwachstellen mit Score 7.2 bis 8.8 aufgef\u00fchrt (zwei neue und zwei Updates), die ebenfalls rechtzeitig durch das Einspielen der verf\u00fcgbaren Updates geschlossen werden sollten. Schauen Sie sich hier die vollst\u00e4ndige Liste<\/a> der „Security Patch Day December 2024 Notes“ an.<\/p>\n\n\n\n

SAP HotNews Prio f\u00fcr HANA DB – Zwischenmeldung vom 28. November<\/strong><\/h2>\n\n\n\n

Au\u00dferdem gab es Ende November noch eine au\u00dferplanm\u00e4\u00dfige Hot News Prio Note f\u00fcr HAN-DB <\/strong>(SAP HANA > SAP-HANA-Datenbank), Version: 5, die nicht in der Patchliste enthalten, aber dennoch wichtig ist:<\/p>\n\n\n\n

Hinweis 3545225 – Fehlende Eintr\u00e4ge nach Batch UPSERT in nicht partitionierter Spaltentabelle mit BEFORE-Trigger<\/strong><\/p>\n\n\n\n

Aufgrund eines Programmfehlers in SAP HANA wird beim Ausf\u00fchren einer UPSERT-Anweisung im Batch-Modus f\u00fcr eine nicht partitionierte Tabelle mit definiertem BEFORE-Trigger der INSERT-Teil der UPSERT-Anweisung nicht korrekt ausgef\u00fchrt. Es wurde festgestellt, dass einige Dateneintr\u00e4ge in der Zieltabelle fehlten. Betroffene Releases: SAP HANA 2, Revisionen = 080.00 (SPS08)<\/p>\n\n\n\n

Wenn Ihr System von diesem Problem beeintr\u00e4chtigt ist, gehen Sie wie folgt vor:<\/p>\n\n\n\n

1. Stellen Sie die Datenbank auf einen Zeitpunkt zur\u00fcck, zu dem die UPSERTs ausgef\u00fchrt wurden (z.B. vor dem SUM-, NZDM-, ZDO-Workflow).<\/p>\n\n\n\n

2. Importieren Sie die tempor\u00e4re L\u00f6sung oder f\u00fchren Sie ein Upgrade auf eine Revision durch, die die permanente L\u00f6sung enth\u00e4lt (sobald vorhanden).<\/p>\n\n\n\n

3. F\u00fchren Sie den UPSERT-Workflow erneut aus (z.B. SUM, NZDM, ZDO Workflow erneut ausf\u00fchren).<\/p>\n\n\n\n

SAP-Behelfsl\u00f6sung:<\/strong><\/p>\n\n\n\n

Deaktivieren Sie die Batch-Optimierung f\u00fcr Upsert-Operationen, indem Sie den Parameter sql\/cs_equi_cond_upsert_optimization_batch_size auf einen Wert setzen, der gr\u00f6\u00dfer ist als die maximal m\u00f6gliche Batch-Gr\u00f6\u00dfe.<\/p>\n\n\n\n

ALTER SYSTEM ALTER CONFIGURATION (‚indexserver.ini‘, ‚SYSTEM‘ ) SET (’sql‘, ‚cs_equi_cond_upsert_optimization_batch_size‘) = ‚2147483648‘ WITH RECONFIGURE COMMENT ‚SAP-Hinweis 3545225<\/em>.<\/p>\n\n\n\n

Dieser Parameter kann online gesetzt werden und erfordert keinen SAP-HANA-Neustart, um wirksam zu werden. Beachten Sie jedoch, dass das Einspielen des Workarounds die Ausf\u00fchrung von UPSERT-Batch-Jobs in Bundles verhindert. Die \u00c4nderung kann sich auf die Performance Ihres Jobs auswirken.<\/p>\n\n\n\n

Setzen Sie die Behelfsl\u00f6sung zur\u00fcck, sobald Sie ein Upgrade durchgef\u00fchrt haben, das die dauerhafte L\u00f6sung enth\u00e4lt.<\/p>\n\n\n\n

ALTER SYSTEM ALTER CONFIGURATION (‚indexserver.ini‘, ‚SYSTEM‘) UNSET (’sql‘, ‚cs_equi_cond_upsert_optimization_batch_size‘) WITH RECONFIGURE COMMENT ‚SAP Hinweis 3545225‘<\/em><\/p>\n\n\n\n

Zum Schutz Ihrer SAP-Landschaften empfiehlt SAP dringend, das Support Portal zu besuchen und Patches vorrangig einzuspielen.<\/p>\n\n\n\n

F\u00fcr weitere Informationen oder zur generellen Unterst\u00fctzung beim Patchen Ihrer Systeme kontaktieren Sie uns<\/a> gerne.<\/p>\n\n\n\n

<\/p>\n\n\n\n

\u00c4ltere Hot News Notes<\/strong><\/h2>\n\n\n\n
\n
SAP Security Patchday: Hot News Update mit Scores von 9.8 im Oktober<\/a><\/blockquote>