SAP Crystal Server & SAP Crystal Reports Client Versies
Voor SAP Crystal 2016 is de productsupport vanuit SAP per 1-1-2023 beland in de fase ‘Prio 1’. Dat betekent dat er inzake deze versie geen nieuwe functionaliteiten en oplossingen voor issues worden uitgerold. Prioriteit 1 incidenten en/of beveiligingspatches worden nog wel beschikbaar gesteld tot 31-12-2024.
Axians raadt aan om z.s.m. over te stappen op SAP Crystal 2020. Dit vanwege ondersteuning van nieuwe functionaliteiten, stabiliteit en veiligheid. Naar verwachting brengt SAP een major release uit eind 2024. Verdere details hierover zijn nog niet bekend.
SAP Crystal Reports 2020
De aanbevolen versie is Crystal Reports 2020. Deze versie is voorzien van nieuwe functionaliteiten, maar ook verbeterde technieken waaronder:
- Export to Layout and Data Only options voor XLSX
- De vernieuwde FIORI BI launchpad
- Rapporten versturen naar meerdere doelen in één ingeplande actie.
- Publicaties maken via de BI Launchpad
- SAP Crystal Reports beschikbaar stellen als Odata bron.
- De SAP Crystal Reports Client tools zijn volledig 64 bits (geen 32 bits meer)
- Het bevriezen van rapportelementen, zodat je door de resultaten kunt scrollen zonder het overzicht te verliezen.
- ODATA V4 als bron voor het maken van rapportages
- Exporteren naar Google Drive en Microsoft OneDrive
SAP Crystal Reports for Enterprise
Met SAP Crystal Reports for Enterprise heeft u als klant de mogelijkheid om rapporten te maken bovenop een Universe. Dit is een semenatische laag tussen uw data en het rapport. SAP heeft bekend gemaakt om met deze tool te stoppen vanaf de major release die eind 2024 wordt verwacht. SAP biedt u als alternatief aan om over te stappen op het SAP BI Platform met Webi rapportages.
Veiligheid
Hieronder een overzicht van geconstateerde kwetsbaarheden in SAP Crystal applicaties. Axians raadt aan om uw omgeving tijdig te voorzien van de nieuwste versie om risico’s te mitigeren.
Onderstaande bevindingen (CVE’s) zijn als kritisch beoordeeld
| CVE-2023-25616 | In some scenarios, SAP Business Objects Business Intelligence Platform (CMC) Program Object execution can lead to code injection vulnerability which could allow an attacker to gain access to resources that are allowed by extra privileges. Successful attack could highly impact the confidentiality, Integrity, and Availability of the system. |
| CVE-2022-41267 | SAP Business Objects Platform – versions 420, and 430, allows an attacker with normal BI user privileges to upload/replace any file on Business Objects server at the operating system level, enabling the attacker to take full control of the system causing a high impact on confidentiality, integrity, and availability of the application. |
| CVE-2022-41203 | Insecure Deserialization of Untrusted Data in SAP BusinessObjects Business Intelligence Platform (Central Management Console and BI Launchpad) |
| CVE-2020-6294 | Xvfb of SAP Business Objects Business Intelligence Platform, versions – 4.2, 4.3, platform on Unix does not perform any authentication checks for functionalities that require user identity. |
| CVE-2020-6195 | SAP Business Objects Business Intelligence Platform (CMC), version 4.1, 4.2, shows cleartext password in the response, leading to Information Disclosure. It involves social engineering in order to gain access to system and If password is known, it would give administrative rights to the attacker to read/modify delete the data and rights within the system. |
De hierboven genoemde kritische kwetsbaarheden zijn opgelost in de laatste versies van 2016 SP9 Patch 14 en vanafversie 2020 SP3 Patch 3
Tomcat
De webapplicaties van Crystal draaien op een default door SAP (mee)geïnstalleerde Tomcat Webserver. Ook Tomcat heeft regelmatig te maken met kwetsbaarheden. Vanuit Axians adviseren wij om Tomcat minimaal één keer per halfjaar te updaten. Afhankelijk van uw versie, kunt u meer informatie vinden via de volgende URL’s
https://tomcat.apache.org/security-8.html of https://tomcat.apache.org/security-9.html
Waarmee kunnen we je helpen?
Heb je een vraag over de BI Servicedesk? Wil je meer weten over de SLA mogelijkheden? Neem dan contact met ons op via support.bi.nl@axians.com of via 088 – 597 55 59. Of vul het formulier in, zodat we contact met jou kunnen opnemen. We helpen je graag!