Spring4Shell und alte Bekannte | SAP Security Patchday April 2022

Autor: Tobias Harmes | 13. April 2022

2

Am 12.04.2022 war wieder wie jeden zweiten Dienstag im Monat der SAP Security Patchday. Es gab diesmal zwölf neue Security-Hinweise und zehn Updates von zuvor veröffentlichten Hinweisen. Dreieinhalb der sieben Hot News, d.h. Security Hinweise der höchsten Stufe, sind Updates. Dreieinhalb deshalb, weil der Hinweis für SAP Manufacturing Integration and Intelligence durch einen neuen Hinweis ersetzt wurde.

Die Neuen: Spring4Shell

SAP reagiert auf die Sicherheitslücke im Spring Framework für Java mit dem Spring4Shell-Sammelhinweis 3170990 – [CVE-2022-22965] Central Security Note for Remote Code Execution vulnerability associated with Spring Framework. Auch, wenn die Sicherheitslücke nicht die Tragweite von Log4j bzw. Log4Shell hat, macht eine Aktualisierung Sinn. Es gibt bereits Bots, die aktiv versuchen, die Sicherheitslücke auszunutzen.

Wer unter anderem SAP HANA XS advanced services 1.0.145 oder niedriger einsetzt, sollte hier aktualisieren. Details zu der Analyse und der Verbindung zu Spring4Shell sind in einem eigenen Hinweis beschrieben: 3189428 – [CVE-2022-22965] Remote Code Execution vulnerability associated with Spring Framework used in SAP HANA Extended Application Services

Ebenfalls betroffen ist der SAP Customer Checkout. Der Hinweis empfiehlt ein Update, ein Workaround ist nicht beschrieben. 3187290 – [CVE-2022-22965] Remote Code Execution vulnerability associated with Spring Framework used in SAP Customer Checkout

Die Updates

Ansonsten gibt es bei den schwersten Fällen vor allem Updates. Der treue Begleiter Google Chromium für den SAP Business Client wurde mal wieder aktualisiert: 2622660 – Security updates for the browser control Google Chromium delivered with SAP Business Client

Bei der kritischen Schwachstelle im Web Dispatcher / SAP NetWeaver gibt es neue Patchlevel für Kernel 7.22. 3123396 – [CVE-2022-22536] Request smuggling and request concatenation in SAP NetWeaver, SAP Content Server and SAP Web Dispatcher

Das Update für die Code-Injection-Schwachstelle SAP Manufacturing Integration and Intelligence  erklärt den Hinweis für obsolet und es wird auf einen anderen Hinweis für eine Korrektur verwiesen. Der alte, obsolete Hinweis: 3022622 – [CVE-2021-21480] Code injection vulnerability in SAP Manufacturing Integration and Intelligence Der neue Hinweis: 3158613 – Update 1 to Security Note 3022622 – [CVE-2021-21480] Code injection vulnerability in SAP Manufacturing Integration and Intelligence

Laut eines Eintrags im SCN-Wiki werden die Patchdays nicht mehr direkt im Wiki sondern über ein, in einem nervigen Viewer eingebettetes PDF, veröffentlicht. Bald dann nicht mehr morgens um 03 Uhr, sondern ab 09 Uhr deutscher Zeit. Der jeweils neueste Patchday ist dann im Dokument ganz oben.

Liebe SAP (immer noch), könnt ihr bitte die PDF-Datei noch downloadbar machen?

Demnächst…

Wir berichten regelmäßig über SAP Sicherheit aus der Praxis. Die nächsten Webinare sind:

Die Übersicht über alle zukünftigen Events unter https://rz10.de/events/


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Tobias Harmes

Autor

Tobias Harmes

Experte, Speaker, Herausgeber rz10.de

Fragen? Anmerkungen?
Kontaktieren Sie mich

2 Kommentare zu "Spring4Shell und alte Bekannte | SAP Security Patchday April 2022"

Hallo Tobias,

ich denke die SAP wird nicht auf deine Bitte zur Veröffentlichung als downloadbares PDF eingehen.
Auf der Seite https://wiki.scn.sap.com/wiki/display/PSR/SAP+Security+Patch+Day+2022 wird ja erwähnt, dass man die Patches auch über 2 mögliche Suchabfragen ermitteln kann. Da lässt sich dann auch ein (weiterverarbeitbares) CSV runterladen.

Grüße,
Marc

Hi Marc,
ja, ich fürchte auch. Nur verstehen tue ich es nicht. Denn Hinweise und ähnliches lässt sich auch alles herunterladen. Scheint mir also eher ein “Irgendjemand müsste einfach nur den Knopf drücken” zu sein.
Viele Grüße
Tobias

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice