SAP Security Patch Day, Log4j-Schwachstelle | RZ10 Update – Dezember 2021
Autor: Tobias Harmes | 16. Dezember 2021
Im RZ10 Update spreche ich über aktuelle Themen und News in der Welt von SAP Basis & Security. Die Themen im Dezember 2021: Der SAP Security Patch Day und die aktuelle Schwachstelle Log4j.
…auf YouTube
YOUTUBE-CHANNEL abonnieren: https://www.youtube.com/c/Rz10De_ms
…als Podcast
Für unterwegs – den Podcast abonnieren: https://rz10.de/podcast
Feedback? harmes@rz10.de
…zum Lesen
Security Patch Day im Dezember
Am 14.12.2021 war, wie an jedem zweiten Dienstag im Monat, wieder der SAP Security Patch Day. Dabei wurden zehn Security-Hinweise neu veröffentlicht, von denen vier ein Update beinhalten. Ebenso sind von den zehn Security-Hinweisen insgesamt vier Patches als „HotNews“ bewertet worden und haben somit einen Score größer 9/10. Zwei der HotNews sind Updates, die bereits zuvor veröffentlicht worden sind.
Es war wie immer unser Standard-Gast, der SAP Business Client, dabei. Da Google den Chromium-Engine aus Sicherheitsgründen aktualisiert hat, gibt es hierbei auch ein Update [2622660]. Der CVSS Score liegt diesmal bei 9.6/10, sodass es sich lohnt, den SAP Business Client zu patchen.
Des Weiteren gab es eine Code Execution vulnerability in SAP Commerce in der Lokalisierung für China [3109577]. Die für China lokalisierte Version von SAP Commerce hat eine Schwachstelle mit der Bewertung 9.9/10, da eine Code-Ausführung möglich ist. Um diese Schwachstelle zu beheben, wird für die Kunden ein Update bereitgestellt.
Eine weitere HotNews mit einem Score von 9.9/10 ist die Meldung „Code Injection vulnerability in SAP ABAP Server & ABAP Platform (Translation Tools)“ 3119365 [CVE-2021-44231]. Dabei geht es um einen versehentlich veröffentlichten Report von SAP, der eine Lücke mit der Bewertung 9.9/10 ins System gerissen hat. Angreifer mit niedrigen Rechten können mit Hilfe des Reports beliebige Befehle im Hintergrund ausführen und damit das System kompromittieren. Mit dem Patch wird der Code auskommentiert.
Darüber hinaus haben wir noch ein Update zum Hinweis „SQL Injection vulnerability in SAP NZDT Mapping Table Framework“ 3089831 [CVE-2021-38176]. Dieser war in vielen Versionen von SAP S/4HANA eine Schwachstelle aus dem September, der mit in die Backend-Datenbank übernommen werden konnte. Der Hinweis enthält nur ein Update der Symptome, sodass notwendige Schritte auf Kundenseite unverändert bleiben.
Log4j und SAP
Derzeit liegt eine Sicherheitslücke in der weitverbreiteten Java-Logging-Bibliothek Log4j vor. Diese wurde leider nicht am Security Patchday erwähnt. Aufgrund dieser Sicherheitslücke kann man Befehle auf dem Server ausführen, weil bewusst präparierte Eingaben während der Protokollierung dann als Befehl interpretiert und ausgeführt werden. In diesem Zusammenhang sind auch die Produkte von SAP von der Log4j-Schwachstelle betroffen.
Diejenigen, die einen Support-Zugang zu SAP haben, können das Dokument „SAP’s Response to CVE-2021-44228 Apache Log4j 2“ von SAP aufrufen, um sich beispielsweise darüber zu informieren, welche SAP Produkte betroffen sind. Dieses Dokument wird stetig aktualisiert. Zusätzlich gibt es eine Übersicht zu allen Hinweisen mit Bezug auf CVE-2021-44228.
Weiterhin liefert die Seite lunasec.io eine Testmöglichkeit, mit der man identifizieren kann, ob man verwundbare Server hat.
Veranstaltungshinweise
Zum Schluss möchte ich euch gerne noch auf zwei RZ10 Live-Webinare aufmerksam machen.
- Am 13.01.2022: SAP Berechtigungen: Last-Minute-Tipps, bevor die Prüfer kommen
Im Webinar zeigen wir Ihnen unsere Tipps, um Ihr SAP-System hinsichtlich Berechtigungen und weiteren Sicherheitsaspekten optimal auf die Wirtschaftsprüfung vorzubereiten.
Zur Anmeldung - Am 18.01.2022: Best Practices Sicherheitsprotokolle im SAP
In diesem Webinar klären wir, welche Möglichkeiten SAP Kunden beim Security Monitoring haben. Wir zeigen die Unterschiede aus dem Standard, SIEM sowie SAP ETD und helfen Ihnen, die passende Lösung für sich zu finden.
Zur Anmeldung
Zum Abschluss etwas für die Weihnachtsstimmung
In der SAP Community habe ich folgenden Artikel gesehen: „Holiday theme for your Launchpad“. Hier könnt ihr euer Fiori Launchpad mit einem Theme verschönern. Dies zaubert beispielsweise einen Weihnachtshintergrund auf eure Fiori-Oberfläche. In den Kommentaren wurde unter anderem auch auf ein etwas älteres Theme von 2019 hingewiesen. Überrascht doch gerne eure Anwender mit ein bisschen Weihnachtsstimmung im Fiori-Launchpad.
Wie immer gibt es weitere Tipps und Hinweise auf unserer Website oder auf unserem YouTube-Kanal. Außerdem freue ich mich auch über Feedback per Mail an harmes@rz10.de.