SAP BI Platform 4.2
Het SAP BI Platform 4.2 bevindt zich momenteel in de fase “Prio1”.
SAP brengt alleen nog patches naar buiten als er sprake is van Prioriteit 1 incidenten en /of kwetsbaarheden. Vanaf 31-12-2024 wordt het support op de 4.2 versie volledig gestopt.
Indien u nog gebruik maakt van deze versie adviseert Axians om z.s.m. over te stappen op het SAP BI Platform 4.3.
SAP BI Platform 4.3
Voor deze nieuwe versie van het BI Platform is inmiddels het derde servicepack beschikbaar. De ervaringen die wij vernemen van klanten die al zijn overgestapt zijn zeer lovend te noemen. Met de nieuwe look & feel en de vele nieuwe functionaliteiten weet SAP weer een volledige rapportage tool in de markt te zetten. We benoemen een aantal:
- Microsoft OneDrive support & Google Drive Support
- Uitgebreide wachtwoord policy voor Enterprise Authenticatie
- OData verbindingen naar onderdelen van Webi rapportages & kubus rechtstreeks
- Presentatie modus met automatisch verversen en verspringen van rapporten
- Vele verbeteringen in het intuïtief gebruik van rapportages
- OpenID Connect Authentication
- Het hele BI Platform is volledig 64 bits
- Vernieuwde interface BI Launch Pad en Webi
- Publiceren en plannen via de BI Launch Pad
- Publiceren naar meer dan 1 bestemming via 1 planning
- Document als Data bron
- Support voor nieuwe verbindingen naar o.a. Snowflake
Meer info:
Servicepack 1: https://blogs.sap.com/2020/12/14/sap-bi-4.3-sap-bi-4.3-sp1-whats-new-in-web-intelligence-and-semantic-layer-cumulative-version/
Servicepack 2: https://blogs.sap.com/2021/12/08/sap-bi-4.3-sp2-whats-new-in-web-intelligence-and-semantic-layer/
Servicepack 3: https://blogs.sap.com/2022/12/08/sap-businessobjects-bi-4.3-sp03-bi-platform-whats-new/
BusinessObjects gaat door!
Onder de werknaam BI 2025 werkt SAP aan een volledig nieuwe versie van BO on Prem. We weten nog niet heel veel maar een aantal speer punten over het pakket kunnen we al wel benoemen zoals:
- Crystal Reports (voor Windows)
- UNX universes
- SAP Analysis for Microsoft Office
- BI Platform met de BI Launchpad
- Webi
- Support tot 2030+
- Windows en Linux
Er zijn echter ook een aantal punten te noemen die niet meer zullen meekomen in het nieuwe pakket waarvoor SAP wel een alternatief aanbiedt.
- UNV universes -> migreren naar UNX universes
- Crystal Reports for Enterprise -> vervangen door Webi of Crystal Reports
- Analysis for OLAP & Lumira -> overstappen naar SAP Analytics Cloud
- Live Office -> Maak gebruik van de nieuwe ODATA functionaliteiten
- Multi-source universes -> Data samenvoegen met WEBi of op DB level
- SAP BusinessObjects Mobile -> Enhancement BI Launchpad for mobile web browsers
Veiligheid
Hieronder een overzicht van geconstateerde kwetsbaarheden in SAP BusinessObjects web applicaties. Axians raadt aan om uw omgeving tijdig te voorzien van de nieuwste versie om risico’s te mitigeren.
Onderstaande bevindingen (CVE’s) zijn als kritisch beoordeeld
| CVE-2023-28765 | An attacker with basic privileges in SAP BusinessObjects Business Intelligence Platform (Promotion Management) – versions 420, 430, can get access to lcmbiar file and further decrypt the file. After this attacker can gain access to BI user’s passwords and depending on the privileges of the BI user, the attacker can perform operations that can completely compromise the application. |
| CVE-2023-28762 | SAP BusinessObjects Business Intelligence platform allows an authenticated attacker with administrator privileges to get the login token of any logged-in BI user or server over the network without any user interaction. The attacker can impersonate any user on the platform resulting into accessing and modifying data. The attacker can also make the system partially or entirely unavailable. |
| CVE-2023-25616 | In some scenarios, SAP Business Objects Business Intelligence Platform (CMC) Program Object execution can lead to code injection vulnerability which could allow an attacker to gain access to resources that are allowed by extra privileges. Successful attack could highly impact the confidentiality, Integrity, and Availability of the system. |
| CVE-2023-0022 | SAP BusinessObjects Business Intelligence Analysis edition for OLAP allows an authenticated attacker to inject malicious code that can be executed by the application over the network. On successful exploitation, attacker can perform operations that may completely compromise the application causing high impact on confidentiality, integrity and availability of the application. |
| CVE-2022-41267 | SAP Business Objects Platform – versions 420, and 430, allows an attacker with normal BI user privileges to upload/replace any file on Business Objects server at the operating system level, enabling the attacker to take full control of the system causing a high impact on confidentiality, integrity, and availability of the application. |
| CVE-2022-41203 | Insecure Deserialization of Untrusted Data in SAP BusinessObjects Business Intelligence Platform (Central Management Console and BI Launchpad) |
| CVE-2023-40622 | SAP BusinessObjects Business Intelligence Platform (Promotion Management) under certain condition allows an authenticated attacker to view sensitive information which is otherwise restricted. On successful exploitation, the attacker can completely compromise the application causing high impact on confidentiality, integrity, and availability. |
| CVE-2023-25616 | In some scenarios, SAP Business Objects Business Intelligence Platform (CMC) Program Object execution can lead to code injection vulnerability which could allow an attacker to gain access to resources that are allowed by extra privileges. Successful attack could highly impact the confidentiality, Integrity, and Availability of the system. |
De hierboven genoemde kritische kwetsbaarheden zijn opgelost in de laatste versies van BI 4.2 SP9 Patch 16 en BI 4.3 SP3 Patch 6.
Tomcat
De webapplicaties van BusinessObjects draaien op een standaard door SAP (mee)geïnstalleerde Tomcat Webserver. Ook Tomcat heeft regelmatig te maken met kwetsbaarheden. Vanuit Axians adviseren wij om Tomcat minimaal één keer per halfjaar te updaten. Afhankelijk van uw versie, kunt u meer informatie vinden via de volgende URL’s
https://tomcat.apache.org/security-8.html
of
Waarmee kunnen we je helpen?
Heb je een vraag over de BI Servicedesk? Wil je meer weten over de SLA mogelijkheden? Neem dan contact met ons op via support.bi.nl@axians.com of via 088 – 597 55 59. Of vul het formulier in, zodat we contact met jou kunnen opnemen. We helpen je graag!