![\"SAST](\"https:\/\/sast-solutions.de\/blog-de\/wp-content\/uploads\/2020\/11\/security-5043368_640-002-300x179.jpg\")
Das neue Jahr startet so turbulent wie das alte endete. LOG4J ist nach wie vor das vorherrschende Thema, nicht nur im SAP-Umfeld. Zum Patchday im Januar wurde die Liste der betroffenen SAP-Produkte noch einmal erweitert. Schlie\u00dfen Sie die Schwachstellen unverz\u00fcglich und spielen Sie die bereitgestellten Korrekturanleitungen so schnell wie m\u00f6glich in Ihre SAP-Systeme ein!<\/p>\n
<\/p>\n
<\/p>\n
Pr\u00fcfen Sie f\u00fcr LOG4J die \u00c4nderungen bzw. verf\u00fcgbaren Fixes zu folgenden Komponenten:<\/strong><\/p>\n Wir entdeckten ebenfalls eine XSS-Schwachstelle im SAP Enterprise Threat Detection und meldeten diese unverz\u00fcglich. Sie wurde mit einem CVSS Scoring von 6.1 bewertet und erhielt einen Fix:<\/p>\n <\/p>\n <\/p>\n 1. LOG4J Updates [CVE-2021-44228]<\/strong><\/p>\n SAP pflegt den Hinweis zur LOG4J-Schwachstelle kontinuierlich weiter. Es k\u00f6nnen jederzeit neue Komponenten hinzugef\u00fcgt werden, wie nun im aktuellen Patchday geschehen. Wir empfehlen Ihnen daher, den zentralen SAP-Hinweis und die in diesem Hinweis enthaltene \u00dcbersichtsliste der betroffenen Komponenten fortw\u00e4hrend zu pr\u00fcfen.<\/p>\n Quelle:\u00a0https:\/\/launchpad.support.sap.com\/#\/notes\/3131047<\/a><\/p>\n Komponentenliste: https:\/\/support.sap.com\/content\/dam\/support\/en_us\/library\/ssp\/my-support\/trust-center\/sap-tc-01-5025.pdf<\/a><\/p>\n <\/p>\n 2. Mehrere Schwachstellen in App „Einzelzahlung anlegen“ (F0743) bei SAP S\/4HANA [CVE-2022-22531]<\/strong><\/p>\n SAP hat sowohl eine XSS-L\u00fccke geschlossen als auch Schwachstellen beim Upload\/Download einer Datei in der App \u201eEinzelzahlung anlegen\u201c in S\/4HANA behoben.<\/p>\n Quelle: https:\/\/launchpad.support.sap.com\/#\/notes\/3112928<\/a> \u00a0<\/strong><\/p>\n <\/p>\n 3. Information Disclosure Business One [CVE-2021-42066] und [CVE-2021-44234]<\/strong><\/p>\n F\u00fcr SAP Business ONE gibt es zwei behobene Sicherheitsl\u00fccken, mit beiden k\u00f6nnen potenziell sensitive Informationen preisgegeben werden. Im ersten Fall ein Datenbank Passwort (Hinweis 3101299). Im zweiten Fall optimiert SAP ein Logfile, um f\u00fcr Angreifer nutzbare Informationen zu reduzieren (Hinweis 3106528).<\/p>\n Quelle:\u00a0https:\/\/launchpad.support.sap.com\/#\/notes\/3101299<\/a> und https:\/\/launchpad.support.sap.com\/#\/notes\/3106528<\/a><\/p>\n <\/p>\n 4. Cross-Site-Scripting-Schwachstelle (XSS) in SAP Enterprise Threat Detection\u00a0 [CVE-2022-22529]<\/strong><\/p>\n Sicherheit ist ein gemeinsamer Kraftakt. Wir freuen uns, dass eine von unserem Consulting-Team gemeldete Schwachstelle beim SAP Patchday im Januar beseitigt wurde. Es handelt sich um eine XSS-L\u00fccke beim Anlegen von Incidents im SAP Enterprise Threat Detection. Fixe und weitere Informationen sind verf\u00fcgbar.<\/p>\n\n
\n
Im Folgenden nun ein Auszug der Security Notes zum ersten SAP Patchday 2022:<\/strong><\/h2>\n
\n
![\"Alexander](\"https:\/\/sast-solutions.de\/blog-de\/wp-content\/uploads\/2022\/01\/Alexander-Bertram-300x300.jpg\")