Log4j und SAP

Update vom 14.01.2022: SAP hat mittlerweile einen Sammelhinweis veröffentlicht, in dem alle von der Schwachstelle betroffenen SAP Produkte und Komponenten aufgeführt sind: 3131047 – [CVE-2021-44228] Zentraler Sicherheitshinweis für Schwachstelle bei Remote-Ausführung von Code in Verbindung mit Komponente Apache Log4j 2

Durch den Zero-Day-Angriff und dem Bekanntwerden am Freitag, den 10.12.2021 ist aktuell nur wenig konkretes bekannt. Es ist davon auszugehen, dass es da spätestens bis zum 14.12. (dem regulären SAP Security Patchday) noch einmal einen Sammelhinweis gibt.

Hinweis: Ich schreibe hier bewusst nicht den Inhalt aus den Hinweisen in den Artikel, weil gerade alles noch in der Analyse ist.

Unter der entsprechenden CVE-Nummer CVE-2021-44228 kann man bei SAP Hinweise und Beiträge recherchieren. Das Risiko allgemein wird als kritisch mit der Einstufung CVSSv3 10/10 bewertet, eine allgemeine Einschätzung bei SAP Produkten gibt es allerdings noch nicht.

Statement von SAP

Zumindest scheint SAP daran zu arbeiten, denn es gibt eine PDF-Datei, die überschrieben ist mit „SAP is aware of the Apache Log4j issue“. Update: In der PDF-Datei findet sich mittlerweile auch eine Liste von Produkten, die betroffen und gerade gepatcht werden oder davon nicht betroffen sind.

Was im Support Portal zu finden ist

Wenn man im SAP Support Portal nach der CVE-Nummer sucht, dann gibt es aktuell nur wenig viele Einträge, nur lässt sich eine Verwundbarkeit nicht aus dem Namen ableiten, weil für viele Produkte ein Hinweis angelegt wurde, in dem am Ende steht: “is not affected”.

Den aktuellen Stand kann man leicht über diese Suche nach CVE-2021-44228 im Support-Launchpad abrufen: https://launchpad.support.sap.com/#/solutions/notesv2/?q=CVE-2021-44228&sortBy=score&sortOrder=desc

Suchergebnisse SAP Support Launchpad zu CVE-2021-44228 Stand 13.12.2021

Eine Auswahl:

• 3130476 – Detecting and remediating log4j CVE-2021-44228 vulnerabilities in BTP Cloud Foudry applications
• 3129883 – CVE-2021-44228 – AS Java Core Components’ impact for Log4j vulnerability
• 3129956 – CVE-2021-44228 – BusinessObjects impact for Log4j vulnerability

Leider wird die CVE-Nummer nicht überall referenziert. So habe ich bei der Suche nach „log4j“ noch etwas gefunden:

https://launchpad.support.sap.com/#/solutions/notesv2/?q=log4j&sortBy=score&sortOrder=desc

Suchergebnisse SAP Support Launchpad zu Log4j Stand 13.12.2021

In diesem Hinweis geht es um den Content Server, aber leider ohne Verweis auf die CVE-Nummer. Update: mittlerweile scheinen die Hinweise mit log4j-Bezug auch die CVE-Nummer zu enthalten.

3129960 – How Apache Log4j vulnerability affect SAP Content Server 650 and lower

Meldungen aus der Community

Es gibt auch einen Sap Community Thread, der mit eventuell betroffenen Produkten gefüttert wird – allerdings noch unbestätigt von SAP: SAP and Log4j

Mal schauen, was der Patch Day am 14.12.2021 uns so bringt. Bis dahin gilt: immer mal wieder im Support Portal nach der CVE-Nummer suchen.

Weitere Informationen

• Hintergrund-Informationen zu dem Zeroday Log4Shell und wie jeder die Systeme selbst testen kann: Log4Shell: RCE 0-day exploit found in log4j 2, a popular Java logging package
• Allgemeine Information von SAP, wie Sicherheitswarnungen im Bereich AS JAVA behandelt und gemeldet werden sollten: 2929868 – How to isolate Security Vulnerability issue from AS Java perspective

//update am 13.12.2021 um 12:47: Hinweis 3130476 für BTP ergänzt

//update am 14.12.2021 um 07:34: Java-Hinweis 3129883 ergänzt, CVE-Nummern werden nun referenziert, zentrales Dokument von SAP hat nun auch Produktnamen gelistet

// update vom 14.01.2022: zentralen Sammelhinweis 3131047 verlinkt