SAP Patchday Januar: Mit LOG4J ins neue Jahr. Wir entdeckten eine weitere Lücke und fassen die wichtigsten Keyfacts zusammen.

SAST Ad-hoc: SAP Hot News - Top Priority NotesDas neue Jahr startet so turbulent wie das alte endete. LOG4J ist nach wie vor das vorherrschende Thema, nicht nur im SAP-Umfeld. Zum Patchday im Januar wurde die Liste der betroffenen SAP-Produkte noch einmal erweitert. Schließen Sie die Schwachstellen unverzüglich und spielen Sie die bereitgestellten Korrekturanleitungen so schnell wie möglich in Ihre SAP-Systeme ein!

 

Prüfen Sie für LOG4J die Änderungen bzw. verfügbaren Fixes zu folgenden Komponenten:

  • Neu: SAP Enterprise Continuous Testing by Tricentis (Hinweis 3134139)
  • Neu: SAP Business One (Hinweis 3131740)
  • Fixes verfügbar: SAP Process Integration (Hinweis 3135581)

Wir entdeckten ebenfalls eine XSS-Schwachstelle im SAP Enterprise Threat Detection und meldeten diese unverzüglich. Sie wurde mit einem CVSS Scoring von 6.1 bewertet und erhielt einen Fix:

  • SAP Enterprise Threat Detection (Hinweis 3124597)

 

Im Folgenden nun ein Auszug der Security Notes zum ersten SAP Patchday 2022:

  1.   3131047 – Zentraler Sicherheitshinweis für Schwachstelle bei Remote-Ausführung von Code in Verbindung mit Komponente Apache Log4j 2 [CVE-2021-44228]
  2.   3112928 – Mehrere Schwachstellen in App „Einzelzahlung anlegen“ (F0743) von SAP S/4HANA [CVE-2022-22531]
  3.   3101299 und 3106528 – Information Disclosure Business One [CVE-2021-42066] und [CVE-2021-44234]
  4.   3124597 – Cross-Site-Scripting-Schwachstelle (XSS) in SAP Enterprise Threat Detection [CVE-2022-22529]

 

1. LOG4J Updates [CVE-2021-44228]

SAP pflegt den Hinweis zur LOG4J-Schwachstelle kontinuierlich weiter. Es können jederzeit neue Komponenten hinzugefügt werden, wie nun im aktuellen Patchday geschehen. Wir empfehlen Ihnen daher, den zentralen SAP-Hinweis und die in diesem Hinweis enthaltene Übersichtsliste der betroffenen Komponenten fortwährend zu prüfen.

Quelle: https://launchpad.support.sap.com/#/notes/3131047

Komponentenliste: https://support.sap.com/content/dam/support/en_us/library/ssp/my-support/trust-center/sap-tc-01-5025.pdf

 

2. Mehrere Schwachstellen in App „Einzelzahlung anlegen“ (F0743) bei SAP S/4HANA [CVE-2022-22531]

SAP hat sowohl eine XSS-Lücke geschlossen als auch Schwachstellen beim Upload/Download einer Datei in der App „Einzelzahlung anlegen“ in S/4HANA behoben.

Quelle: https://launchpad.support.sap.com/#/notes/3112928  

 

3. Information Disclosure Business One [CVE-2021-42066] und [CVE-2021-44234]

Für SAP Business ONE gibt es zwei behobene Sicherheitslücken, mit beiden können potenziell sensitive Informationen preisgegeben werden. Im ersten Fall ein Datenbank Passwort (Hinweis 3101299). Im zweiten Fall optimiert SAP ein Logfile, um für Angreifer nutzbare Informationen zu reduzieren (Hinweis 3106528).

Quelle: https://launchpad.support.sap.com/#/notes/3101299 und https://launchpad.support.sap.com/#/notes/3106528

 

4. Cross-Site-Scripting-Schwachstelle (XSS) in SAP Enterprise Threat Detection  [CVE-2022-22529]

Sicherheit ist ein gemeinsamer Kraftakt. Wir freuen uns, dass eine von unserem Consulting-Team gemeldete Schwachstelle beim SAP Patchday im Januar beseitigt wurde. Es handelt sich um eine XSS-Lücke beim Anlegen von Incidents im SAP Enterprise Threat Detection. Fixe und weitere Informationen sind verfügbar.

Quelle: https://launchpad.support.sap.com/#/notes/3124597

 

Alexander Bertram (SAST SOLUTIONS)
Alexander Bertram (SAP Security Consultant, SAST SOLUTIONS)

 

Weitere SAP-Sicherheitshinweise:

SAP Patchday August: Drei neue Security Notes mit Scoring über 9.0 – wir fassen für Sie die wichtigsten Keyfacts zusammen

SAP Patchday Juni: Eine neue Security Note mit Scoring über 9.0 – wir fassen für Sie die wichtigsten Keyfacts zusammen