Spring4Shell und alte Bekannte | SAP Security Patchday April 2022
Autor: Tobias Harmes | 13. April 2022
Am 12.04.2022 war wieder wie jeden zweiten Dienstag im Monat der SAP Security Patchday. Es gab diesmal zwölf neue Security-Hinweise und zehn Updates von zuvor veröffentlichten Hinweisen. Dreieinhalb der sieben Hot News, d.h. Security Hinweise der höchsten Stufe, sind Updates. Dreieinhalb deshalb, weil der Hinweis für SAP Manufacturing Integration and Intelligence durch einen neuen Hinweis ersetzt wurde.
Die Neuen: Spring4Shell
SAP reagiert auf die Sicherheitslücke im Spring Framework für Java mit dem Spring4Shell-Sammelhinweis 3170990 – [CVE-2022-22965] Central Security Note for Remote Code Execution vulnerability associated with Spring Framework. Auch, wenn die Sicherheitslücke nicht die Tragweite von Log4j bzw. Log4Shell hat, macht eine Aktualisierung Sinn. Es gibt bereits Bots, die aktiv versuchen, die Sicherheitslücke auszunutzen.
Wer unter anderem SAP HANA XS advanced services 1.0.145 oder niedriger einsetzt, sollte hier aktualisieren. Details zu der Analyse und der Verbindung zu Spring4Shell sind in einem eigenen Hinweis beschrieben: 3189428 – [CVE-2022-22965] Remote Code Execution vulnerability associated with Spring Framework used in SAP HANA Extended Application Services
Ebenfalls betroffen ist der SAP Customer Checkout. Der Hinweis empfiehlt ein Update, ein Workaround ist nicht beschrieben. 3187290 – [CVE-2022-22965] Remote Code Execution vulnerability associated with Spring Framework used in SAP Customer Checkout
Die Updates
Ansonsten gibt es bei den schwersten Fällen vor allem Updates. Der treue Begleiter Google Chromium für den SAP Business Client wurde mal wieder aktualisiert: 2622660 – Security updates for the browser control Google Chromium delivered with SAP Business Client
Bei der kritischen Schwachstelle im Web Dispatcher / SAP NetWeaver gibt es neue Patchlevel für Kernel 7.22. 3123396 – [CVE-2022-22536] Request smuggling and request concatenation in SAP NetWeaver, SAP Content Server and SAP Web Dispatcher
Das Update für die Code-Injection-Schwachstelle SAP Manufacturing Integration and Intelligence erklärt den Hinweis für obsolet und es wird auf einen anderen Hinweis für eine Korrektur verwiesen. Der alte, obsolete Hinweis: 3022622 – [CVE-2021-21480] Code injection vulnerability in SAP Manufacturing Integration and Intelligence Der neue Hinweis: 3158613 – Update 1 to Security Note 3022622 – [CVE-2021-21480] Code injection vulnerability in SAP Manufacturing Integration and Intelligence
Unterlagen und Links
Laut eines Eintrags im SCN-Wiki werden die Patchdays nicht mehr direkt im Wiki sondern über ein, in einem nervigen Viewer eingebettetes PDF, veröffentlicht. Bald dann nicht mehr morgens um 03 Uhr, sondern ab 09 Uhr deutscher Zeit. Der jeweils neueste Patchday ist dann im Dokument ganz oben.
Liebe SAP (immer noch), könnt ihr bitte die PDF-Datei noch downloadbar machen?
Demnächst…
Wir berichten regelmäßig über SAP Sicherheit aus der Praxis. Die nächsten Webinare sind:
- Webinar am 26.04.2022: IT-SiG 2.0 umsetzen im SAP
- Webinar am 27.04.2022: Best Practices Sicherheitsprotokolle im SAP
- Webinar am 11.05.2022: Informationssicherheit verbessern durch ISMS und ISO 27001
Die Übersicht über alle zukünftigen Events unter https://rz10.de/events/
2 Kommentare zu "Spring4Shell und alte Bekannte | SAP Security Patchday April 2022"
Hallo Tobias,
ich denke die SAP wird nicht auf deine Bitte zur Veröffentlichung als downloadbares PDF eingehen.
Auf der Seite https://wiki.scn.sap.com/wiki/display/PSR/SAP+Security+Patch+Day+2022 wird ja erwähnt, dass man die Patches auch über 2 mögliche Suchabfragen ermitteln kann. Da lässt sich dann auch ein (weiterverarbeitbares) CSV runterladen.
Grüße,
Marc
Hi Marc,
ja, ich fürchte auch. Nur verstehen tue ich es nicht. Denn Hinweise und ähnliches lässt sich auch alles herunterladen. Scheint mir also eher ein “Irgendjemand müsste einfach nur den Knopf drücken” zu sein.
Viele Grüße
Tobias