Noch ein wenig Spring4Shell | SAP Security Patchday Mai 2022

Autor: Tobias Harmes | 11. Mai 2022

Am 10.05.2022 war wieder wie jeden zweiten Dienstag im Monat der SAP Security Patchday. Es gab diesmal acht neue Security Hinweise und zusätzlich vier Updates von zuvor veröffentlichten Hinweisen. Alle Hinweise mit der höchsten Einstufung „Hot News“ beschäftigen sich mit der schon im letzten Monat adressierten Remote Code Execution-Schwachstelle im Spring Framework.

Wie immer schaue ich nur auf die Hinweise mit der höchsten Einstufung – ich empfehle allen ein kurzes Überfliegen des aktuellen PDFs.

Mehr Patches für Produkte mit Spring Framework

In den Hot News geht es diesmal nur um Spring4Shell. SAP hat den Sammel-Hinweis für die Sicherheitslücke im Spring Framework für Java aktualisiert, siehe 3170990 – [CVE-2022-22965] Central Security Note for Remote Code Execution vulnerability associated with Spring Framework.

Für folgende Produkte gibt es jetzt zusätzlich eigene Hinweise:

SAP Business One Cloud – Lösung durch Patchen 3189409 – [CVE-2022-22965] Remote Code Execution vulnerability associated with Spring Framework used in in SAP Business One Cloud

SAP Commerce – Lösung durch Update der Spring Libraries 3171258 – [CVE-2022-22965] Remote Code Execution vulnerability associated with Spring Framework used in SAP Commerce

SAP Customer Profitability Analytics – Lösung durch Patchen 3189635 – [CVE-2022-22965] Remote Code Execution vulnerability associated with Spring Framework used in SAP Customer Profitability Analytics

Unterlagen und Links

Laut einem Eintrag im SCN-Wiki werden die Patchdays nicht mehr direkt im Wiki sondern über ein in einem nervigen Viewer eingebettetes PDF veröffentlicht. Ab Juni 2022 dann nicht mehr morgens um 03 Uhr, sondern ab 09 Uhr deutscher Zeit. Der jeweils neueste Patchday ist dann im Dokument ganz oben.

Demnächst…

Wir berichten regelmäßig über SAP Sicherheit aus der Praxis. Die nächsten Webinare sind: