Kritische Schwachstelle in log4j – Auswirkungen auf SAP (HCM)?
Das BSI hat für die kritische Schwachstelle (log4shell) in der weit verbreiteten Java-Bibliothek log4j eine Cyber-Sicherheitswarnung der Warnstufe Rot veröffentlicht.
Was bedeutet dies im Kontext SAP und welche Maßnahmen sollten Sie jetzt durchführen?
Hierzu hat unsere Partnerfirma smarterSec GmbH einen Blog-Artikel verfasst. Den vollständigen Artikel finden Sie hier:
Hintergrund
Die Open-Source Java-Bibliothek log4j stellt allgemeine Dienste zum Erzeugen und Verwalten von Anwendungslogs bereit und ist als Teil von Apache Software Foundation sehr weit verbreitet.
Die unter dem Namen „log4shell“ bekannt gewordene Schwachstelle erlaubt eine Remote Code Execution (RCE), also das Nachladen und Ausführen von Quellcode. Das Ausnutzen der Schwachstelle ist vergleichsweise einfach.
Kontext SAP-Anwendungen
Seit Bekanntwerden der Schwachstelle wurden bereits einige SAP-Hinweise veröffentlicht. Wir empfehlen sämtliche Hinweise zu analysieren und auf Einspielbarkeit zu prüfen. Einspielbare Korrekturen sollten dringend implementiert werden (gemäß des bei Ihnen gültigen HotFix/Notfall-Transport Prozesses).
Zusätzlich sollten in den nächsten Tagen die neuen SAP-Hinweise auf weitere Korrekturen gegen log4shell regelmäßig überprüft werden.
SAP Add-Ons und Schnittstellen zu non-SAP
Sollte ein betroffenes Release der log4j-Bibliothek in einem Add-On verwendet werden, kann diese normalerweise nicht direkt von Ihnen als Endanwender ausgetauscht werden. Analog zur SAP haben bereits viele Add-On-Hersteller entsprechende Patches bereitgestellt (oder werden dies kurzfristig tun).
Wir empfehlen dringend, vom Hersteller bereitgestellte Korrekturen sofort einzuspielen.
Wie oben beschrieben kann – bis ein Patch ausgeliefert ist – die kritische Funktionalität aus dem log4j über Konfiguration deaktiviert werden. Dies erst nach Empfehlung des Herstellers durchführen.
Falls eine solche Empfehlung des Herstellers noch nicht verfügbar ist, empfehlen wir den Status des Add-On bzgl. der log4shell Schwachstelle zu erfragen.
Bedeutung für scdsoft Add-On-Lösungen
Was unsere scdsoft Add-On-Lösungen betrifft, können wir Entwarnung geben: Unsere Tools basieren auf der Web Dynpro ABAP-Technologie. Diese verwendet kein Java. Insofern sind bzgl. sämtlicher scdsoft Add-On-Lösungen keine Aktivitäten erforderlich.