Log4j und SAP

Autor: Tobias Harmes | 13. Dezember 2021

3 | 13 | #story

Aktuell gibt es eine Sicherheitslücke in der weitverbreiteten Java-Logging-Bibliothek Log4j, genannt Log4Shell. Mit dieser können Angreifer beliebigen Code auf dem Server ausführen lassen. Die Frage: Ist auch SAP betroffen?

Update vom 14.01.2022: SAP hat mittlerweile einen Sammelhinweis veröffentlicht, in dem alle von der Schwachstelle betroffenen SAP Produkte und Komponenten aufgeführt sind: 3131047 – [CVE-2021-44228] Zentraler Sicherheitshinweis für Schwachstelle bei Remote-Ausführung von Code in Verbindung mit Komponente Apache Log4j 2

Durch den Zero-Day-Angriff und dem Bekanntwerden am Freitag, den 10.12.2021 ist aktuell nur wenig konkretes bekannt. Es ist davon auszugehen, dass es da spätestens bis zum 14.12. (dem regulären SAP Security Patchday) noch einmal einen Sammelhinweis gibt.

Hinweis: Ich schreibe hier bewusst nicht den Inhalt aus den Hinweisen in den Artikel, weil gerade alles noch in der Analyse ist.

Unter der entsprechenden CVE-Nummer CVE-2021-44228 kann man bei SAP Hinweise und Beiträge recherchieren. Das Risiko allgemein wird als kritisch mit der Einstufung CVSSv3 10/10 bewertet, eine allgemeine Einschätzung bei SAP Produkten gibt es allerdings noch nicht.

Statement von SAP

Zumindest scheint SAP daran zu arbeiten, denn es gibt eine PDF-Datei, die überschrieben ist mit „SAP is aware of the Apache Log4j issue“. Update: In der PDF-Datei findet sich mittlerweile auch eine Liste von Produkten, die betroffen und gerade gepatcht werden oder davon nicht betroffen sind.

Was im Support Portal zu finden ist

Wenn man im SAP Support Portal nach der CVE-Nummer sucht, dann gibt es aktuell nur wenig viele Einträge, nur lässt sich eine Verwundbarkeit nicht aus dem Namen ableiten, weil für viele Produkte ein Hinweis angelegt wurde, in dem am Ende steht: “is not affected”.

Den aktuellen Stand kann man leicht über diese Suche nach CVE-2021-44228 im Support-Launchpad abrufen: https://launchpad.support.sap.com/#/solutions/notesv2/?q=CVE-2021-44228&sortBy=score&sortOrder=desc

Suchergebnisse SAP Support Launchpad zu CVE-2021-44228 Stand 13.12.2021

Suchergebnisse SAP Support Launchpad zu CVE-2021-44228 Stand 13.12.2021

Eine Auswahl:

Leider wird die CVE-Nummer nicht überall referenziert. So habe ich bei der Suche nach „log4j“ noch etwas gefunden:

https://launchpad.support.sap.com/#/solutions/notesv2/?q=log4j&sortBy=score&sortOrder=desc

Suchergebnisse SAP Support Launchpad zu Log4j Stand 13.12.2021

Suchergebnisse SAP Support Launchpad zu Log4j Stand 13.12.2021

In diesem Hinweis geht es um den Content Server, aber leider ohne Verweis auf die CVE-Nummer. Update: mittlerweile scheinen die Hinweise mit log4j-Bezug auch die CVE-Nummer zu enthalten.

3129960 – How Apache Log4j vulnerability affect SAP Content Server 650 and lower

Meldungen aus der Community

Es gibt auch einen Sap Community Thread, der mit eventuell betroffenen Produkten gefüttert wird – allerdings noch unbestätigt von SAP: SAP and Log4j

Mal schauen, was der Patch Day am 14.12.2021 uns so bringt. Bis dahin gilt: immer mal wieder im Support Portal nach der CVE-Nummer suchen.

Weitere Informationen

//update am 13.12.2021 um 12:47: Hinweis 3130476 für BTP ergänzt

//update am 14.12.2021 um 07:34: Java-Hinweis 3129883 ergänzt, CVE-Nummern werden nun referenziert, zentrales Dokument von SAP hat nun auch Produktnamen gelistet

// update vom 14.01.2022: zentralen Sammelhinweis 3131047 verlinkt


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Tobias Harmes

Autor

Tobias Harmes

Experte, Speaker, Herausgeber rz10.de

Fragen? Anmerkungen?
Kontaktieren Sie mich

3 Kommentare zu "Log4j und SAP"

Hallo Tobias,
leider scheinen nicht alle SAP Notes mit der CVE verschlagwortet zu sein. Also besser auch mit Log4J und Log4Shell nach Hinweisen seit dem 10.12.2021 suchen.

Grüße
Joe

Hi Joe, ja das stimmt, danke für den Hinweis. Ich hoffe, SAP stellt noch einen Sammelhinweis zur Verfügung!
Viele Grüße
Tobias

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice