Web Dispatcher Nachlese, Log4j und SAP Focused Run: SAP Security Patchday März 2022

Autor: Tobias Harmes | 9. März 2022

Am 08.03.2022 war wieder wie jeden zweiten Dienstag im Monat der SAP Security Patchday. Es gab diesmal zwölf neue Security Hinweise und vier Updates von zuvor veröffentlichten Hinweisen. Zwei der vier Hot News, d.h. Security Hinweise der höchsten Stufe, sind Updates.

Web Dispatcher Nachlese

Für die CVSS10/10-Schwachstelle vom Web Dispatcher aus dem Februar 3123396 [CVE-2022-22536] Request smuggling and request concatenation in SAP NetWeaver, SAP Content Server and SAP Web Dispatcher gibt es ein Update, im wesentlichen sind einige Beschreibungen ergänzt worden. Und auch der Hinweis auf einen FAQ zu der Sicherheitslücke: 3148968 – FAQ for SAP Security Note 3123396 [CVE-2022-22536] Request smuggling and request concatenation. In dem FAQ wird auch kurz erwähnt, dass man bei SAP nicht die Ergebnisse des von Onapsis auf github veröffentlichten Scanners icmad für die Sicherheitslücke interpretieren würde.

Wer noch Details zu der Sicherheitslücke erfahren will, der kann mal auf die bereitgestellten Folien vom Security Notes Webinar aus Februar schauen, die bei der DSAG und bei SAP verfügbar sind. Oder sich gleich die Aufzeichnung ansehen. Frank Buchholz von SAP gibt auch interessante Insights für das Thema Übersicht von Hinweisen für das Thema Log4j.

Log4j Update für SAP Work Manager

Passend zu Log4j wird im März ebenfalls der zentrale Hinweis für die Log4j CVEs ergänzt 3131047 – [CVE-2021-44228] Central Security Note for Remote Code Execution vulnerability associated with Apache Log4j 2 component. Die Änderung ist die Verlinkung auf einen weiteren 10/10-Hinweis aus dem Patchday im März: 3154684 – [CVE-2021-44228] Remote Code Execution vulnerability associated with Apache Log4j 2 component used in SAP Work Manager. Kurz: Für den SAP Work Manager gibt es jetzt auch ein Update, nicht nur einen Workaround.

SAP Focused Run Agents für Adminzugriff ausnutzen

Und der letzte der vier Hot News betrifft SAP Focused Run: 3145987 – [CVE-2022-24396] Missing Authentication check in SAP Focused Run (Simple Diagnostics Agent 1.0) Der Simple Diagnostics Agent kann über Localhost ohne Authentifizierung für administrative Aufgaben angesprochen werden. Die Lösung ist hier die Simple Diagnostics Agents und die SAP Host Agents zu aktualisieren.

Unterlagen und Links

Laut einem Eintrag im SCN-Wiki werden die Patchdays nicht mehr direkt im Wiki sondern über ein in einem nervigen Viewer eingebettetes PDF veröffentlicht. Der jeweils neueste Patchday ist dann im Dokument ganz oben. Liebe SAP, könnte ihr bitte die PDF-Datei noch downloadbar machen?