Log4j und SAP
Autor: Tobias Harmes | 13. Dezember 2021
Aktuell gibt es eine Sicherheitslücke in der weitverbreiteten Java-Logging-Bibliothek Log4j, genannt Log4Shell. Mit dieser können Angreifer beliebigen Code auf dem Server ausführen lassen. Die Frage: Ist auch SAP betroffen?
Update vom 14.01.2022: SAP hat mittlerweile einen Sammelhinweis veröffentlicht, in dem alle von der Schwachstelle betroffenen SAP Produkte und Komponenten aufgeführt sind: 3131047 – [CVE-2021-44228] Zentraler Sicherheitshinweis für Schwachstelle bei Remote-Ausführung von Code in Verbindung mit Komponente Apache Log4j 2
Durch den Zero-Day-Angriff und dem Bekanntwerden am Freitag, den 10.12.2021 ist aktuell nur wenig konkretes bekannt. Es ist davon auszugehen, dass es da spätestens bis zum 14.12. (dem regulären SAP Security Patchday) noch einmal einen Sammelhinweis gibt.
Hinweis: Ich schreibe hier bewusst nicht den Inhalt aus den Hinweisen in den Artikel, weil gerade alles noch in der Analyse ist.
Unter der entsprechenden CVE-Nummer CVE-2021-44228 kann man bei SAP Hinweise und Beiträge recherchieren. Das Risiko allgemein wird als kritisch mit der Einstufung CVSSv3 10/10 bewertet, eine allgemeine Einschätzung bei SAP Produkten gibt es allerdings noch nicht.
Statement von SAP
Zumindest scheint SAP daran zu arbeiten, denn es gibt eine PDF-Datei, die überschrieben ist mit „SAP is aware of the Apache Log4j issue“. Update: In der PDF-Datei findet sich mittlerweile auch eine Liste von Produkten, die betroffen und gerade gepatcht werden oder davon nicht betroffen sind.
Was im Support Portal zu finden ist
Wenn man im SAP Support Portal nach der CVE-Nummer sucht, dann gibt es aktuell nur wenig viele Einträge, nur lässt sich eine Verwundbarkeit nicht aus dem Namen ableiten, weil für viele Produkte ein Hinweis angelegt wurde, in dem am Ende steht: „is not affected“.
Den aktuellen Stand kann man leicht über diese Suche nach CVE-2021-44228 im Support-Launchpad abrufen: https://launchpad.support.sap.com/#/solutions/notesv2/?q=CVE-2021-44228&sortBy=score&sortOrder=desc
Eine Auswahl:
- 3130476 – Detecting and remediating log4j CVE-2021-44228 vulnerabilities in BTP Cloud Foudry applications
- 3129883 – CVE-2021-44228 – AS Java Core Components‘ impact for Log4j vulnerability
- 3129956 – CVE-2021-44228 – BusinessObjects impact for Log4j vulnerability
Leider wird die CVE-Nummer nicht überall referenziert. So habe ich bei der Suche nach „log4j“ noch etwas gefunden:
https://launchpad.support.sap.com/#/solutions/notesv2/?q=log4j&sortBy=score&sortOrder=desc
In diesem Hinweis geht es um den Content Server, aber leider ohne Verweis auf die CVE-Nummer. Update: mittlerweile scheinen die Hinweise mit log4j-Bezug auch die CVE-Nummer zu enthalten.
3129960 – How Apache Log4j vulnerability affect SAP Content Server 650 and lower
Meldungen aus der Community
Es gibt auch einen Sap Community Thread, der mit eventuell betroffenen Produkten gefüttert wird – allerdings noch unbestätigt von SAP: SAP and Log4j
Mal schauen, was der Patch Day am 14.12.2021 uns so bringt. Bis dahin gilt: immer mal wieder im Support Portal nach der CVE-Nummer suchen.
Weitere Informationen
- Hintergrund-Informationen zu dem Zeroday Log4Shell und wie jeder die Systeme selbst testen kann: Log4Shell: RCE 0-day exploit found in log4j 2, a popular Java logging package
- Allgemeine Information von SAP, wie Sicherheitswarnungen im Bereich AS JAVA behandelt und gemeldet werden sollten: 2929868 – How to isolate Security Vulnerability issue from AS Java perspective
//update am 13.12.2021 um 12:47: Hinweis 3130476 für BTP ergänzt
//update am 14.12.2021 um 07:34: Java-Hinweis 3129883 ergänzt, CVE-Nummern werden nun referenziert, zentrales Dokument von SAP hat nun auch Produktnamen gelistet
// update vom 14.01.2022: zentralen Sammelhinweis 3131047 verlinkt
3 Kommentare zu "Log4j und SAP"
Hallo Tobias,
leider scheinen nicht alle SAP Notes mit der CVE verschlagwortet zu sein. Also besser auch mit Log4J und Log4Shell nach Hinweisen seit dem 10.12.2021 suchen.
Grüße
Joe
Hi Joe, ja das stimmt, danke für den Hinweis. Ich hoffe, SAP stellt noch einen Sammelhinweis zur Verfügung!
Viele Grüße
Tobias
Wie oben im Text ergänzt, der Sammelhinweis ist da 🙂 : https://launchpad.support.sap.com/#/notes/3131047/D