How to process security-related SAP Notes


Frank Buchholz, Active Global Support – Security Services June 2009

Security Notes in the SMP

© SAP 2009 / Page 2

Check for security-related SAP Notes

© SAP 2009 / Page 3

© SAP 2009 / Page 4 .Check for security-related SAP Notes using Transaction ST13 -> Tool RSECNOTE Execute tool RSECNOTE within transaction ST13 A special authorization is required to execute this tool.

Let’s choose one note as a example how to implement notes.Transaction ST13 -> Tool RSECNOTE Result The tool RSECNOTE shows security-related notes which should be implemented for this system. © SAP 2009 / Page 5 .

© SAP 2009 / Page 6 .Implement Note using transaction SNOTE Download Note Start transaction SNOTE and download the note.

© SAP 2009 / Page 7 . If requirements are present. they are automatically processed.Implement Note Download other required Notes if necessary Some notes require other notes as a prerequisite (even if we try to keep security-related notes almost independent from other patches).

Implement Note Submit implementation process Finally. you have to confirm that you have read the note – and of course that you have defined sufficient test procedures. © SAP 2009 / Page 8 .

© SAP 2009 / Page 9 .Implement Note Integration with Transport Management You use transaction SNOTE in a development system. Therefore a transport request is used to transport the correction to the productive system.

Implement Note Check if correction can be applied Transaction SNOTE checks if all corrections can be applied to the ABAP programs. © SAP 2009 / Page 10 .

Implement Note Activate objects © SAP 2009 / Page 11 .

Implement Note Confirm Note © SAP 2009 / Page 12 .

Transaction ST13 -> Tool RSECNOTE Refreshed Result Success !! © SAP 2009 / Page 13 .

Appendix A Install RSECNOTE using note 888889 © SAP 2009 / Page 14 .

which are related to the settings of the System Change Options: © SAP 2009 / Page 15 .Install RSECNOTE using note 888889 Implementing note 888889 using transaction SNOTE may lead to some error messages.

too) activate the Namespaces/Name Ranges /SSA/ and /SSF/ for modification. © SAP 2009 / Page 16 .Install RSECNOTE using note 888889 Change System Change Options In transaction SE06 -> System Change Option (you can use SE03.

Install RSECNOTE using note 888889 Go ahead… © SAP 2009 / Page 17 .

Install RSECNOTE using note 888889 Go ahead… © SAP 2009 / Page 18 .

Install RSECNOTE using note 888889 Go ahead… © SAP 2009 / Page 19 .

Install RSECNOTE using note 888889 Go ahead… © SAP 2009 / Page 20 .

Install RSECNOTE using note 888889 Choose one main program and go ahead… © SAP 2009 / Page 21 .

Install RSECNOTE using note 888889 Success !! © SAP 2009 / Page 22 .

Appendix B Send Results of RSECNOTE using Mail © SAP 2009 / Page 23 .

com/saphelp_nw70/helpdata/EN/ae/16193ce8fac413e10000000a114084/frameset.htm Defining Output Devices for Printing Using E-Mail You have to configue at least all steps which are related to the sending process based on SMTP In addition we like to highlight the topic converning Secure E-Mail On the following slides we show some of the configuration Results of RSECNOTE using Mail Online Help SAP Connect Configuration http://help. © SAP 2009 / Page 24 .com/saphelp_nw70/helpdata/EN/2b/d926324b8a11d1894c0000e8323c4f/frameset.

Send Results of RSECNOTE using Mail Define MAIL Printer (1) Transaction SPAD Define a virtual printer which sends the spool request using SMTP to the mail server Typically you choose the device type PDF1 to create mails containing a PDF attachment © SAP 2009 / Page 25 .

Send Results of RSECNOTE using Mail Define MAIL Printer (2) Transaction SPAD Set the Host Spool Access Method to ‚M‘ The reciepient mail address will be defined later as part of the backgroung job definition © SAP 2009 / Page 26 .

Send Results of RSECNOTE using Mail Create Role for Background User Transaction PFCG Create a role for the background user © SAP 2009 / Page 27 .

Send Results of RSECNOTE using Mail Create Background User Transaction SU01 Create a background user and assign the role The mail address in mandatory and will be used as the sender (and reply) address © SAP 2009 / Page 28 .

Send Results of RSECNOTE using Mail Create Report Variant for Background Job Transaction SA38 Create a variant RSECNOTE for the report /SSA/NXS Set the service parameter to the value SECURITY_CHECK © SAP 2009 / Page 29 .

g.Send Results of RSECNOTE using Mail Schedule Background Job Transaction SM37 Create a background job Add a step for the report /SSA/NXS with variant RSECNOTE Use the background user RSECNOTE Set the MAIL printer Set the receiver mail address Define a title Consider. to add a second step for sending the mail at once using report RSCONN01 with variant INT Schedule the job regularly. e. weekly © SAP 2009 / Page 30 .

Send Results of RSECNOTE using Mail Result © SAP 2009 / Page 31 .

Thank you! © SAP 2009 / Page 32 .

Definition and halftone values of colors SAP Blue RGB 4/53/123 SAP Gold RGB 240/171/0 SAP Light Gray RGB 204/204/204 SAP Gray RGB 153/153/153 SAP Dark Gray RGB 102/102/102 Primary color palette 100% Dove RGB 68/105/125 RGB 96/127/143 RGB 125/150/164 RGB 152/173/183 RGB 180/195/203 Petrol RGB 21/101/112 RGB 98/146/147 RGB 127/166/167 RGB 154/185/185 RGB 181/204/204 Warm Green RGB 85/118/48 RGB 110/138/79 RGB 136/160/111 RGB 162/180/141 RGB 187/200/172 Warm Red RGB 119/74/57 RGB 140/101/87 RGB 161/129/118 RGB 181/156/147 RGB 201/183/176 Violet/Mauve RGB 100/68/89 RGB 123/96/114 RGB 147/125/139 RGB 170/152/164 RGB 193/180/189 Secondary color palette 100% 85% 70% 55% 40% Cool Green RGB 73/108/96 RGB 101/129/120 RGB 129/152/144 RGB 156/174/168 RGB 183/196/191 Ocher RGB 129/110/44 RGB 148/132/75 RGB 167/154/108 RGB 186/176/139 RGB 205/197/171 Cool Red RGB 132/76/84 RGB 150/103/110 RGB 169/130/136 RGB 188/157/162 RGB 206/183/187 Tertiary color palette 100% 85% 70% 55% 40% Warning Red RGB 158/48/57 © SAP 2009 / Page 33 2007 .

xApps. PartnerEdge and other SAP products and services mentioned herein as well as their respective logos are trademarks or registered trademarks of SAP AG in Germany and in several other countries all over the world. © SAP 2009 / Page 34 . Die Angaben im Text sind unverbindlich und dienen lediglich zu Informationszwecken. SAP. either express or implied. R/3. SAP shall have no liability for damages of any kind including without limitation direct. SAP Business ByDesign. indirect. SAP assumes no responsibility for errors or omissions in this document. text. SAP. SAP garantiert nicht die Richtigkeit oder Vollständigkeit der Informationen. aber nicht ausschließlich. This document is provided without a warranty of any kind. Dieses Dokument ist eine Vorabversion und unterliegt nicht Ihrer Lizenzvereinbarung oder einer anderen Vereinbarung mit SAP. Einige von der SAP AG und deren Vertriebspartnern vertriebene Softwareprodukte können Softwarekomponenten umfassen. Some software products marketed by SAP AG and its distributors contain proprietary software components of other software vendors. auf die Sie möglicherweise über die in diesem Material enthaltenen Hotlinks zugreifen. xApps. Entwicklungen und Funktionen des SAP®-Produkts und ist für SAP nicht bindend. SAP NetWeaver. -entwicklung einzuschlagen. Duet. ohne die ausdrückliche schriftliche Genehmigung durch SAP AG nicht gestattet. die Eigentum anderer Softwarehersteller sind. The information contained herein may be changed without prior notice. SAP does not warrant the accuracy or completeness of the information. unterliegen nicht dem Einfluss von SAP. The statutory liability for personal injury and defective products is not affected. In dieser Publikation enthaltene Informationen können ohne vorherige Ankündigung geändert werden. eine Produktstrategie bzw. einen bestimmten Geschäftsweg. indirekte oder Folgeschäden im Zusammenhang mit der Verwendung dieser Unterlagen. This limitation shall not apply in cases of intent or gross negligence. Duet. This document is a preliminary version and not subject to your license agreement or any other agreement with SAP. All other product and service names mentioned and associated logos displayed are the trademarks of their respective companies. SAP has no control over the information that you may access through the use of hot links contained in these materials and does not endorse your use of third-party Web pages nor provide any warranty whatsoever relating to third-party Web pages Weitergabe und Vervielfältigung dieser Publikation oder von Teilen daraus sind. Alle anderen in diesem Dokument erwähnten Namen von Produkten und Services sowie die damit verbundenen Firmenlogos sind Marken der jeweiligen Unternehmen. Texte. Links oder anderer in diesen Materialien enthaltenen Elemente. product strategy. and functionalities of the SAP® product and is not intended to be binding upon SAP to any particular course of business. This document contains only intended strategies. Produkte können länderspezifische Unterschiede aufweisen. SAP Business ByDesign. Die in diesem Dokument enthaltenen Informationen sind Eigentum von SAP. Dieses Dokument enthält nur vorgesehene Strategien. xApp. including but not limited to the implied warranties of merchantability. R/3. SAP NetWeaver. SAP übernimmt keine Verantwortung für Fehler oder Auslassungen in diesen Materialien. a. PartnerEdge und andere in diesem Dokument erwähnte SAP-Produkte und Services sowie die dazugehörigen Logos sind Marken oder eingetragene Marken der SAP AG in Deutschland und in mehreren anderen Ländern weltweit. developments. graphics. Grafiken. Diese Publikation wird ohne jegliche Gewähr. SAP übernimmt keine Haftung für Schäden jeglicher Art. or consequential damages that may result from the use of these materials.Copyright 2009 SAP AG All rights reserved No part of this publication may be reproduced or transmitted in any form or for any purpose without the express permission of SAP AG. Diese Einschränkung gilt nicht bei Vorsatz oder grober Fahrlässigkeit. ByDesign. or non-infringement. und SAP unterstützt nicht die Nutzung von Internetseiten Dritter durch Sie und gibt keinerlei Gewährleistungen oder Zusagen über Internetseiten Dritter ab. or other items contained within this material. spezielle. hinsichtlich der Gewährleistung der Marktgängigkeit und der Eignung für einen bestimmten Zweck sowie für die Gewährleistung der Nichtverletzung geltenden Rechts. xApp. einschließlich und ohne Einschränkung für direkte. links. Data contained in this document serves informational purposes only. special. fitness for a particular purpose. Dies gilt u. Die gesetzliche Haftung bei Personenschäden oder die Produkthaftung bleibt unberührt. ByDesign. bereitgestellt. The information in this document is proprietary to SAP. Die Informationen. National product specifications may vary. Alle Rechte vorbehalten. weder ausdrücklich noch stillschweigend. and/or development.. zu welchem Zweck und in welcher Form auch immer.