На заметку, для тех кто обновляет SAP системы.
Fix непонятно когда и для каких релизов сделают, а как с проблемной ошибкой бороться - подробная инструкция.
#SAPNOTE3474710
Fix непонятно когда и для каких релизов сделают, а как с проблемной ошибкой бороться - подробная инструкция.
#SAPNOTE3474710
HANA DB пользователь
Понравился свежий сюжет (3504952 - User activation by ALTER USER does not work correctly) о том,
как надо "восстанавливать" пользователя HANA DB,
после того, как он был залочен за неоднократные неудачные попытки входа.
SQL команда:
ALTER USER <USERNAME> ACTIVATE USER NOW;
не помогает...😁
Требуется использовать:
ALTER USER <USERNAME> RESET CONNECT ATTEMPTS;
#SAPNOTE3504952
#USERUNLOCK
#HANADB
Понравился свежий сюжет (3504952 - User activation by ALTER USER does not work correctly) о том,
как надо "восстанавливать" пользователя HANA DB,
после того, как он был залочен за неоднократные неудачные попытки входа.
SQL команда:
ALTER USER <USERNAME> ACTIVATE USER NOW;
не помогает...😁
Требуется использовать:
ALTER USER <USERNAME> RESET CONNECT ATTEMPTS;
#SAPNOTE3504952
#USERUNLOCK
#HANADB
SAP Security Patch Day – August 2024
Славно поработали искатели уязвимостей в этом месяце.
Семнадцать новых неприятностей устранено плюс обновили ноты к 8 старым болячкам. Поехали:
{9,8} 3479478 [CVE-2024-41730] Missing Authentication check in SAP BusinessObjects Business Intelligence Platform
{9,1} 3477196 [CVE-2024-29415] Server-Side Request Forgery vulnerability in applications built with SAP Build Apps
{8,2} 3485284 [CVE-2024-42374] XML injection in SAP BEx Web Java Runtime Export Web Service
{7,8} 3423268 [CVE-2023-30533] Prototype Pollution in SAP S/4 HANA (Manage Supply Protection)
Это самое страшное, что обнаружили в этот раз.
Вряд ли найдётся компания, для которой будет неинтересен сюжет 3438085
{ Missing Authorization check in SAP NetWeaver Application Server (ABAP and Java),
SAP Web Dispatcher and SAP Content Server }.
Стоит обратить внимание на сюжет 3468102 - Improper Access Control in SAP Netweaver Application Server ABAP
Не пойму только, почему в нём нет базиса 740 и 750. На всякий случай звёздочку стоит отжать для данной ноты ?
А вот ошибку из 3494349 Missing Authorization check in SAP NetWeaver Application Server ABAP and ABAP Platform мне наверное не осознать
никогда. "Из-за отсутствия проверки полномочий в SAP NetWeaver Application Server ABAP и платформе ABAP аутентифицированный
злоумышленник может вызвать базовую транзакцию, что приводит к раскрытию информации, связанной с пользователем".
Для статистики, ноты по продуктам, которые совсем не привлекли моего внимания:
3459935,3495876,3474590,3483256,3471450,3487537,3433545,3475427,3477423,3479293
8 обновлений ранее известных проблем:
3460407 Denial of service (DOS) in SAP NetWeaver AS Java (Meta Model Repository),
3482217 Multiple Cross-Site Scripting (XSS) vulnerabilities in SAP BW
3465455 Missing Authorization check in SAP BW/4HANA Transformation and DTP
3458789 Server-Side Request Forgery in SAP Business Workflow
3454858 Information Disclosure vulnerability in SAP NetWeaver Application Server for ABAP and ABAP Platform
+ "экзотические"(3466801,3459379,3150704)
#AUGUST2024
Славно поработали искатели уязвимостей в этом месяце.
Семнадцать новых неприятностей устранено плюс обновили ноты к 8 старым болячкам. Поехали:
{9,8} 3479478 [CVE-2024-41730] Missing Authentication check in SAP BusinessObjects Business Intelligence Platform
{9,1} 3477196 [CVE-2024-29415] Server-Side Request Forgery vulnerability in applications built with SAP Build Apps
{8,2} 3485284 [CVE-2024-42374] XML injection in SAP BEx Web Java Runtime Export Web Service
{7,8} 3423268 [CVE-2023-30533] Prototype Pollution in SAP S/4 HANA (Manage Supply Protection)
Это самое страшное, что обнаружили в этот раз.
Вряд ли найдётся компания, для которой будет неинтересен сюжет 3438085
{ Missing Authorization check in SAP NetWeaver Application Server (ABAP and Java),
SAP Web Dispatcher and SAP Content Server }.
Стоит обратить внимание на сюжет 3468102 - Improper Access Control in SAP Netweaver Application Server ABAP
Не пойму только, почему в нём нет базиса 740 и 750. На всякий случай звёздочку стоит отжать для данной ноты ?
А вот ошибку из 3494349 Missing Authorization check in SAP NetWeaver Application Server ABAP and ABAP Platform мне наверное не осознать
никогда. "Из-за отсутствия проверки полномочий в SAP NetWeaver Application Server ABAP и платформе ABAP аутентифицированный
злоумышленник может вызвать базовую транзакцию, что приводит к раскрытию информации, связанной с пользователем".
Для статистики, ноты по продуктам, которые совсем не привлекли моего внимания:
3459935,3495876,3474590,3483256,3471450,3487537,3433545,3475427,3477423,3479293
8 обновлений ранее известных проблем:
3460407 Denial of service (DOS) in SAP NetWeaver AS Java (Meta Model Repository),
3482217 Multiple Cross-Site Scripting (XSS) vulnerabilities in SAP BW
3465455 Missing Authorization check in SAP BW/4HANA Transformation and DTP
3458789 Server-Side Request Forgery in SAP Business Workflow
3454858 Information Disclosure vulnerability in SAP NetWeaver Application Server for ABAP and ABAP Platform
+ "экзотические"(3466801,3459379,3150704)
#AUGUST2024
ПОНРАВИЛОСЬ - СКОПИПАСТИЛ БЕЗ ИЗМЕНЕНИЙ
.....
В августе Microsoft закрыла 89 дыр, шесть уже используются в кибератаках
В августовских обновлениях Microsoft выпустила патчи для 89 уязвимостей, из которых шесть уже используются в кибератаках, а для трёх есть общедоступные эксплойты. Одна из уязвимостей (0-day) всё ещё требует заплатки. Восемь уязвимостей получили статус критических, включая возможность повышения привилегий, выполнения кода и раскрытия информации.
Эксплуатируемые уязвимости:
1. CVE-2024-38178 — уязвимость в скриптовом движке, использующая браузер Edge в режиме Internet Explorer для удалённого выполнения кода.
2. CVE-2024-38193 — уязвимость в драйвере WinSock, позволяющая повысить права до уровня SYSTEM.
3. CVE-2024-38213 — обход защитной функции Windows Mark of the Web.
4. CVE-2024-38106 — уязвимость в ядре Windows, позволяющая повысить права до уровня SYSTEM.
5. CVE-2024-38107 — уязвимость в Windows Power Dependency Coordinator, позволяющая повышение привилегий.
6. CVE-2024-38189 — возможность удалённого выполнения кода в Microsoft Project.
Категории уязвимостей:
- Повышение привилегий: 36
- Обход защитных функций: 4
- Удалённое выполнение кода: 28
- DoS: 6
- Спуфинг: 7
#MICROSOFTAUGUST2024
.....
В августе Microsoft закрыла 89 дыр, шесть уже используются в кибератаках
В августовских обновлениях Microsoft выпустила патчи для 89 уязвимостей, из которых шесть уже используются в кибератаках, а для трёх есть общедоступные эксплойты. Одна из уязвимостей (0-day) всё ещё требует заплатки. Восемь уязвимостей получили статус критических, включая возможность повышения привилегий, выполнения кода и раскрытия информации.
Эксплуатируемые уязвимости:
1. CVE-2024-38178 — уязвимость в скриптовом движке, использующая браузер Edge в режиме Internet Explorer для удалённого выполнения кода.
2. CVE-2024-38193 — уязвимость в драйвере WinSock, позволяющая повысить права до уровня SYSTEM.
3. CVE-2024-38213 — обход защитной функции Windows Mark of the Web.
4. CVE-2024-38106 — уязвимость в ядре Windows, позволяющая повысить права до уровня SYSTEM.
5. CVE-2024-38107 — уязвимость в Windows Power Dependency Coordinator, позволяющая повышение привилегий.
6. CVE-2024-38189 — возможность удалённого выполнения кода в Microsoft Project.
Категории уязвимостей:
- Повышение привилегий: 36
- Обход защитных функций: 4
- Удалённое выполнение кода: 28
- DoS: 6
- Спуфинг: 7
#MICROSOFTAUGUST2024
ДЛЯ ТЕХ, КТО ДЕЛАЕТ КОПИИ НОВЫХ СИСТЕМ ( на заметку)
Главное, чтобы не было задания "повесить админа на ближайшем дереве". Но, вообще конечно владельцам компонент SAP_BASIS 754 и до 758 включительно завидовать не буду.
Это реальная жесть, как она есть.
Ты успешно засуспендил задания перед копированием, а они у тебя проснулись в новой копии.
#SAPNOTE3504022
Главное, чтобы не было задания "повесить админа на ближайшем дереве". Но, вообще конечно владельцам компонент SAP_BASIS 754 и до 758 включительно завидовать не буду.
Это реальная жесть, как она есть.
Ты успешно засуспендил задания перед копированием, а они у тебя проснулись в новой копии.
#SAPNOTE3504022
Cмотреть кино, начиная с 40 секунды...
YouTube
Перспективы развития SUSE Linux Enterprise Server
SUSE Linux Enterprise Server - единственная в индустрии адаптивная операционная система на базе Linux для различных архитектур, которая может быть оптимизирована под требования той или иной рабочей нагрузки по производительности, надежности или операционному…
Для информации, кому интересно(такие интересующиеся точно есть)..😀
Проглядел я релиз - ну так не так пристально за этим направлением слежу, у нас всё больше Windows GUI в почёте.
#SAPGUIJAVA
#SAPGUIJAVA780
#SAPGUIJAVA780PL8
Проглядел я релиз - ну так не так пристально за этим направлением слежу, у нас всё больше Windows GUI в почёте.
#SAPGUIJAVA
#SAPGUIJAVA780
#SAPGUIJAVA780PL8
Поддержка SAP без вендора. Что могут аутсорсеры?
"Вопрос повышения безопасности систем и устранения известных проблем решается другими методами." - это ‼️‼️
Я бы прокомментировал этот сюжет, но пятница и малость расслабленое состояние (завтра - баня с шашлыками..) способствует к умиротворению.
Кому интересно моё мнение - готов в личке подискутировать.
"Вопрос повышения безопасности систем и устранения известных проблем решается другими методами." - это ‼️‼️
Я бы прокомментировал этот сюжет, но пятница и малость расслабленое состояние (завтра - баня с шашлыками..) способствует к умиротворению.
Кому интересно моё мнение - готов в личке подискутировать.
ComNews
Поддержка SAP без вендора. Что могут аутсорсеры?
Российские бизнес-пользователи SAP продолжают работать с продуктами немецкого вендора даже после его ухода из РФ. На фоне сохраняющегося спроса появились компании, утверждающие, что могут предоставлять официальные пакеты обновлений SAP. Стоит ли доверять…
2799920 - ORACLE Patches for 19c: Database
Пришла отбивка о выходе свежей версии ноты. Глянул.
Вышло свежее обновление SBP SAP19P_2408 ( Release Date 202408), что соответствует
Оракловому релизу 19.24.0.0.240716.
И несмотря на предупреждение, что "It might take up to 2 days after this note has been updated
until the new patches are visible on the SWDC" - cвежие версии от сегодняшнего дня уже
доступны для скачивания на всех шести поддерживаемых платформах.
Пришла отбивка о выходе свежей версии ноты. Глянул.
Вышло свежее обновление SBP SAP19P_2408 ( Release Date 202408), что соответствует
Оракловому релизу 19.24.0.0.240716.
И несмотря на предупреждение, что "It might take up to 2 days after this note has been updated
until the new patches are visible on the SWDC" - cвежие версии от сегодняшнего дня уже
доступны для скачивания на всех шести поддерживаемых платформах.
Критическая уязвимость TCP/IP угрожает всем Windows-системам, где включен IPv6
На этой неделе Microsoft предупредила об уязвимости CVE-2024-38063 в протоколе IPv6. Уязвимость позволяет удаленное выполнение кода в Windows-системах через целочисленное антипереполнение.
Проблема затрагивает Windows 10, 11 и Server, и наиболее вероятна эксплуатация этой уязвимости.
Microsoft выпустила патч и рекомендует отключить IPv6, если его невозможно сразу установить.
#WINDOWS
На этой неделе Microsoft предупредила об уязвимости CVE-2024-38063 в протоколе IPv6. Уязвимость позволяет удаленное выполнение кода в Windows-системах через целочисленное антипереполнение.
Проблема затрагивает Windows 10, 11 и Server, и наиболее вероятна эксплуатация этой уязвимости.
Microsoft выпустила патч и рекомендует отключить IPv6, если его невозможно сразу установить.
#WINDOWS
Для тех, кто часто использует SUIM на современных версиях базиса - на заметку ( и соответственно исправление ).
#SAPNOTE3506531
#SAPNOTE3506531
Благославенный будет твой день, когда узнал что можно лишнее убрать с SUSE сервера за ненадобностью...😀
#SAPNOTE3506018
#SAPNOTE3506018
Бесплатная проверка веб-ресурсов на уязвимости.
Positive Technologies выпустила большое обновление облачного динамического анализатора веб-приложений (DAST) PT BlackBox Scanner.
Новая версия сервиса получила десятки улучшений, а также дает возможность скачать отчет по итогам проверки.
Сканер выполняет более 110 видов проверок на наличие уязвимостей в коде веб-ресурсов.
Воспользоваться инструментом может любой желающий, используя соответствующий адрес
#DAST
#PTSECURITY
Positive Technologies выпустила большое обновление облачного динамического анализатора веб-приложений (DAST) PT BlackBox Scanner.
Новая версия сервиса получила десятки улучшений, а также дает возможность скачать отчет по итогам проверки.
Сканер выполняет более 110 видов проверок на наличие уязвимостей в коде веб-ресурсов.
Воспользоваться инструментом может любой желающий, используя соответствующий адрес
#DAST
#PTSECURITY
Ptsecurity
PT BlackBox
Website's security scanner
Forwarded from Борис Марцинкевич
Настоящий День независимости России!
20 августа – одна из самых значимых дат в биографии России и в жизни каждого из нас. Именно в этот день в теперь уже далеком 1945-м за подписью Иосифа Виссарионовича Сталина вышло постановление Государственного Комитета Обороны № 9987 сс/оп «О создании Специального комитета при ГОКО».
Название было именно таким – просто Спецкомитет, это уже позднее стали додумывать-сочинять «по энергии атомного ядра», «по урану» и так далее. Не плели тогда словесных кружев – дело делать надо было, а создание нашей Первой Бомбы было Делом с большой буквы.
Всего за несколько дней до решения ГКО Соединенные Штаты явили миру настоящее лицо «демократизации по-американски»: любое государство, не соглашающееся с их диктатом, может быть превращено в радиоактивное кладбище.
20 августа – день, благодаря которому мы не шелестим пеплом по руинам городов и весей, день, благодаря которому наша Россия сохраняет свою независимость, не смотря ни на какие проблемы, через которые нам приходится шагать. 12 июня, который после 1991 года был наречен «Днем независимости России» - несусветная глупость – таким днем должно быть именно 20 августа.
С ним и поздравляю – с днем создания отечественного атомного проекта. Праздник, к которому причастны все мы – просто по факту того, что живем – живем благодаря тому, что 79 лет тому назад руководство Страны Советов нашло силы для начала создания нашего ядерного щита. Низкий поклон всем, кто его создавал – Иосифу Сталину, Лаврентии Берия, Игорю Курчатову, Борису Ванникову, Авраамию Завенягину, Николаю Вознесенскому… Имен создателей проекта – сотни и тысячи, и очень хочется, чтобы мы не забывали каждого, кто отдавал силы, кто рисковал здоровьем ради того, чтобы мы имели право жить.
И, конечно, мои поздравления Росатому – наследнику и продолжателю Спецкомитета и легендарного министерства среднего машиностроения!
С Днем атомной промышленности!
@geonrgru | YouTube | sponsr.ru
20 августа – одна из самых значимых дат в биографии России и в жизни каждого из нас. Именно в этот день в теперь уже далеком 1945-м за подписью Иосифа Виссарионовича Сталина вышло постановление Государственного Комитета Обороны № 9987 сс/оп «О создании Специального комитета при ГОКО».
Название было именно таким – просто Спецкомитет, это уже позднее стали додумывать-сочинять «по энергии атомного ядра», «по урану» и так далее. Не плели тогда словесных кружев – дело делать надо было, а создание нашей Первой Бомбы было Делом с большой буквы.
Всего за несколько дней до решения ГКО Соединенные Штаты явили миру настоящее лицо «демократизации по-американски»: любое государство, не соглашающееся с их диктатом, может быть превращено в радиоактивное кладбище.
20 августа – день, благодаря которому мы не шелестим пеплом по руинам городов и весей, день, благодаря которому наша Россия сохраняет свою независимость, не смотря ни на какие проблемы, через которые нам приходится шагать. 12 июня, который после 1991 года был наречен «Днем независимости России» - несусветная глупость – таким днем должно быть именно 20 августа.
С ним и поздравляю – с днем создания отечественного атомного проекта. Праздник, к которому причастны все мы – просто по факту того, что живем – живем благодаря тому, что 79 лет тому назад руководство Страны Советов нашло силы для начала создания нашего ядерного щита. Низкий поклон всем, кто его создавал – Иосифу Сталину, Лаврентии Берия, Игорю Курчатову, Борису Ванникову, Авраамию Завенягину, Николаю Вознесенскому… Имен создателей проекта – сотни и тысячи, и очень хочется, чтобы мы не забывали каждого, кто отдавал силы, кто рисковал здоровьем ради того, чтобы мы имели право жить.
И, конечно, мои поздравления Росатому – наследнику и продолжателю Спецкомитета и легендарного министерства среднего машиностроения!
С Днем атомной промышленности!
@geonrgru | YouTube | sponsr.ru
SAP SUPPORT PACKAGE STACK SCHEDULE
Расписанием выхода релизов вендор ничего не гарантирует, но практически каждый месяц вносит в него какие-то изменения...
Кроме того, думаю по отдельным продуктам интересны новости из нот , типа 3078654 , 3354958 и 2806573 ( актуальные версии, выложу следующим постом, как обычно ).
#РАСПИСАНИЕРЕЛИЗОВ
#SCHEDULE
#SAPNOTE3078654
#SAPNOTE3354958
#SAPNOTE2806573
#SAPNOTE3116151
Расписанием выхода релизов вендор ничего не гарантирует, но практически каждый месяц вносит в него какие-то изменения...
Кроме того, думаю по отдельным продуктам интересны новости из нот , типа 3078654 , 3354958 и 2806573 ( актуальные версии, выложу следующим постом, как обычно ).
#РАСПИСАНИЕРЕЛИЗОВ
#SCHEDULE
#SAPNOTE3078654
#SAPNOTE3354958
#SAPNOTE2806573
#SAPNOTE3116151
И потом кто-то будет утверждать, что в SAP мире не существует "дискриминации по техническому признаку" ?
Ну, да, ну, да - конечно...😂
Поставил SAP JAVA систему и если она начинает пухнуть в размере, то своими ручками сажай её на диету. САМ. От нутрицологов из Вальдорфа помощи не жди.
#SAPNOTE3508454
Ну, да, ну, да - конечно...😂
Поставил SAP JAVA систему и если она начинает пухнуть в размере, то своими ручками сажай её на диету. САМ. От нутрицологов из Вальдорфа помощи не жди.
#SAPNOTE3508454
Интереснейшее кино.
Это надо уметь - остановить saprouter ...
Более неприхотливого серверного софта, которое работает практически на любой платформе наверное просто не существует.
#SAPNOTE3428255
Это надо уметь - остановить saprouter ...
Более неприхотливого серверного софта, которое работает практически на любой платформе наверное просто не существует.
#SAPNOTE3428255
SAP BASIS TIPS NEWS ( обзор недели ) , хотя больше похоже на "SAP HANA DB Day.."
3506659 Fiori на одном языке работает, на другом чтото не так.
3508457 Ошибка 70029051 в HANA Database после восстановления из бэкапа.
3508548 Изящный способ привести HANA Database в чувство после запуска Consistency Check.
3505222 HANA system performance extremely slow after failover even enabled FastRestart option
Отключение трассировки, как один из временных способов повышения производительности HANA DB.
3470023 RSAU_MAINT_LOG | Missing function in SAP version older than 7.56
Обновление ноты. Сделали программу RSAU_MAINT_LOG_X ( для реорганизации таблицы RSAU_BUF_DATA в фоне) для систем с компонентой младше 756.
Как проверить период хранения коллекторов данных сервиса статистики ? Выполняем SQL:
SELECT o.name, s.retention_days_default FROM _SYS_STATISTICS.STATISTICS_SCHEDULE s, _SYS_STATISTICS_OBJECTS o WHERE s.id = o.id AND o.type = 'Collector' order by s.retention_days_default desc;
( обнаружено в 3510095 )
#SAPNOTE3506659
#SAPNOTE3508457
#SAPNOTE3508548
#SAPNOTE3505222
#SAPNOTE3470023
#SAPNOTE3510095
3506659 Fiori на одном языке работает, на другом чтото не так.
3508457 Ошибка 70029051 в HANA Database после восстановления из бэкапа.
3508548 Изящный способ привести HANA Database в чувство после запуска Consistency Check.
3505222 HANA system performance extremely slow after failover even enabled FastRestart option
Отключение трассировки, как один из временных способов повышения производительности HANA DB.
3470023 RSAU_MAINT_LOG | Missing function in SAP version older than 7.56
Обновление ноты. Сделали программу RSAU_MAINT_LOG_X ( для реорганизации таблицы RSAU_BUF_DATA в фоне) для систем с компонентой младше 756.
Как проверить период хранения коллекторов данных сервиса статистики ? Выполняем SQL:
SELECT o.name, s.retention_days_default FROM _SYS_STATISTICS.STATISTICS_SCHEDULE s, _SYS_STATISTICS_OBJECTS o WHERE s.id = o.id AND o.type = 'Collector' order by s.retention_days_default desc;
( обнаружено в 3510095 )
#SAPNOTE3506659
#SAPNOTE3508457
#SAPNOTE3508548
#SAPNOTE3505222
#SAPNOTE3470023
#SAPNOTE3510095