SAP-Sicherheitspatch-Tag Dezember 2021: Ein Patch-Tag im Schatten von Log4j

Von:

14. Dezember 2021

Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom Dezember gehören:

  • Zusammenfassung für Dezember – 21 neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter vier HotNews-Hinweise und sechs Hinweise mit hoher Priorität 
  • Informationen zu Log4j – Mehr als 30 SAP-Anwendungen sind von CVE-2021-44228 betroffen
  • Die kritischsten Patches für SAP Commerce – Drei Patches mit einem CVSS-Wert zwischen 7,5 und 9,9 veröffentlicht

Über die Auswirkungen der Log4j-Sicherheitslücke auf SAP-Anwendungen

Der „Patch Tuesday“ von SAP im Dezember wird durch die Entdeckung der kritischen Log4j-Sicherheitslücke überschattet, die am 10. Dezember 2021 bekannt wurde. Das SAP-Sicherheitsteam prüft intensiv die möglichen Auswirkungen auf SAP-Anwendungen und hat den aktuellen Stand seiner Analyse in diesem Dokument zusammengefasst. Bis heute (14. Dezember 2021) hat SAP 32 Anwendungen identifiziert, die von CVE-2021-44228 betroffen sind. 20 davon sind bereits gepatcht, 12 stehen derzeit noch aus. Das Dokument enthält auch Workarounds für einige der noch ausstehenden Anwendungen. Eine Suche nach „log4j“ im SAP-Support-Portal liefert derzeit 50 relevante SAP-Notes und Knowledge-Base-Einträge, die seit dem 12. Dezember 2021 veröffentlicht wurden. 

SAP hat an seinem Patch Day im Dezember 21 neue und aktualisierte Sicherheitshinweise veröffentlicht (einschließlich der Hinweise, die seit dem letzten Patch Tuesday veröffentlicht oder aktualisiert wurden). Darunter befinden sich vier HotNews-Hinweise und sechs Hinweise mit hoher Priorität

Die Zahl von vier HotNews-Notizen mag hoch erscheinen, doch bei genauerer Betrachtung wird deutlich, dass die HotNews-Notiz Nr. 3089831, die mit einem CVSS-Wert von 9,9 versehen ist, ursprünglich im September 2021 veröffentlicht und im Dezember mit einigen Informationen zu den möglichen Symptomen aktualisiert wurde. SAP weist ausdrücklich darauf hin, dass das Update keine Maßnahmen seitens der Kunden erfordert.  

Der SAP-Sicherheitshinweis Nr. 2622660 ist der regelmäßig erscheinende HotNews-Hinweis, der einen SAP Business Client-Patch mit den neuesten getesteten Chromium-Korrekturen bereitstellt. Kunden des SAP Business Client wissen bereits, dass Updates dieses Hinweises stets wichtige Korrekturen enthalten, die unbedingt installiert werden müssen. Der Hinweis verweist auf 62 Chromium-Korrekturen mit einem maximalen CVSS-Wert von 9,6 – 26 davon sind mit „hoher Priorität“ eingestuft. Die letzte Zahl spiegelt nur Schwachstellen wider, die extern gemeldet wurden, da Google keine solchen Informationen zu intern entdeckten Problemen bereitstellt.

Der Hinweis mit hoher Priorität Nr. 3077635, der mit einem CVSS-Wert von 7,8 versehen ist, enthält einen aktualisierten Abschnitt „Lösung“ für eine Denial-of-Service-Sicherheitslücke in SAP SuccessFactors Application, der ursprünglich im Oktober 2021 veröffentlicht wurde.

Blog:Die Log4j-Sicherheitslücke und ihre Auswirkungen auf geschäftskritische SAP-Anwendungen 

 

Die neuen HotNews -Notizen im Detail

Der SAP-Sicherheitshinweis Nr. 3119365, der mit einem CVSS-Wert von 9,9 bewertet wurde, behebt eine Code-Injection-Sicherheitslücke in einem Textextraktionsbericht der Übersetzungstools von SAP ABAP Server & ABAP Platform. Die Sicherheitslücke ermöglicht es einem Angreifer mit geringen Berechtigungen, beliebige Befehle im Hintergrund auszuführen. Sie wurde nicht mit dem maximalen CVSS-Wert von 10 bewertet, da für die Ausnutzung der Sicherheitslücke zumindest einige Berechtigungen erforderlich sind. Der bereitgestellte Patch deaktiviert lediglich den betroffenen Code. Der Bericht wird nur intern bei SAP verwendet, war nicht zur Veröffentlichung bestimmt und hat keine Auswirkungen auf die bestehende Funktionalität. Leser, die Zugriff auf den Hinweis haben und wissen möchten, welcher Bericht betroffen ist, finden diese Informationen im Abschnitt „Korrekturanweisungen“, indem sie die Registerkarte „TADIR-Einträge“ aktivieren.

Der zweite neue HotNews-Hinweis ist der SAP-Sicherheitshinweis Nr. 3109577. Er ist mit einem CVSS-Wert von 9,9 versehen und behebt mehrere Sicherheitslücken, die die Ausführung von Code ermöglichen, in SAP Commerce, Lokalisierung für China. Das Lokalisierungspaket für China nutzt die Open-Source-Bibliothek XStream zur Serialisierung von Objekten in XML und zurück. Der Hinweis enthält einen Patch für Version 2001 des Lokalisierungspakets. SAP-Commerce-Kunden, die eine niedrigere Version verwenden, müssen das Paket aktualisieren, bevor sie den Patch anwenden. Beim Vergleich der im Hinweis aufgeführten CVEs mit den auf https://x-stream.github.io/security.html aufgeführten Patches sind zwei Dinge erwähnenswert:

  • Der bereitgestellte SAP-Patch enthält die Version 1.4.15 der XStream-Bibliothek
  • Die Version 1.4.15 behebt insbesondere Sicherheitslücken, die die Ausführung von Code ermöglichen; gemäß der Xstream-Patch-Historie werden jedoch auch zwei Denial-of-Service-Schwachstellen sowie eine Schwachstelle im Zusammenhang mit serverseitig gefälschten Anfragen behoben

Als vorübergehende Lösung können betroffene Kunden die betroffene XStream-Bibliotheksdatei auch direkt durch die neueste Version ersetzen.

Details zu den Notizen mit hoher Priorität

Auch SAP Commerce ist von zwei Notes mit hoher Priorität betroffen, die am Patch Day im Dezember von SAP veröffentlicht wurden.

Der SAP-Sicherheitshinweis Nr. 3114134, der mit einem CVSS-Wert von 8,8 versehen ist, betrifft SAP-Commerce-Installationen, die für die Verwendung einer Oracle-Datenbank konfiguriert sind. Die Escaping-Verarbeitung von Werten, die an eine parametrisierte „IN“-Klausel in flexiblen Suchabfragen mit mehr als 1000 Werten übergeben werden, erfolgt fehlerhaft. Dies ermöglicht es einem Angreifer, durch das Einschleusen bösartiger SQL-Befehle manipulierte Datenbankabfragen auszuführen und so die Backend-Datenbank offenzulegen.

SAP-Commerce-Kunden, die den B2C Accelerator nutzen, sind ebenfalls von der SAP-Sicherheitsmitteilung Nr. 3113593 betroffen, die mit einem CVSS-Score von 7,5 bewertet wurde. Ein Angreifer mit direktem Schreibzugriff auf produktbezogene Metadaten im B2C Accelerator kann eine Schwachstelle in der jsoup-Bibliothek ausnutzen, die für die Bereinigung der Metadaten vor deren Verarbeitung zuständig ist. Dadurch kann der Angreifer lange Antwortverzögerungen und Dienstunterbrechungen verursachen, was zu einer Denial-of-Service-Situation führt.

Der SAP-Sicherheitshinweis Nr. 3102769, der mit einem CVSS-Score von 8,8 versehen ist, behebt eine Cross-Site-Scripting-Sicherheitslücke im SAP Knowledge Warehouse (SAP KW), die zur Offenlegung sensibler Daten führen kann. Die Sicherheitslücke betrifft die Anzeigekomponente von SAP KW, und SAP weist ausdrücklich darauf hin, dass bereits das bloße Vorhandensein dieser Komponente in der Kundenumgebung ausreicht, um eine Sicherheitslücke zu verursachen. Eine Sicherheitsverletzung kann auch dann auftreten, wenn ein Kunde die Anzeigekomponente von SAP KW nicht aktiv nutzt. Neben dem beigefügten Patch beschreibt der Hinweis auch zwei mögliche Workarounds:

  • Deaktivieren der betroffenen Anzeige-Komponente durch Hinzufügen eines Filters mit einer bestimmten benutzerdefinierten Regel
  • Hinzufügen einer Rewrite-Regel zum SAP Web Dispatcher, um Weiterleitungen zu verhindern (dies gilt nur, wenn Anfragen über den SAP Web Dispatcher weitergeleitet werden)

Der SAP-Sicherheitshinweis Nr. 3123196, der mit einem CVSS-Score von 8,4 versehen ist, beschreibt eine Code-Injection-Sicherheitslücke in zwei Methoden einer Utility-Klasse in SAP NetWeaver AS ABAP. Ein Benutzer mit weitreichenden Berechtigungen, der die Transaktionen SE24 oder SE80 nutzen und Entwicklungsobjekte ausführen darf, kann diese Methoden aufrufen und böswillige Parameterwerte übergeben, die zur Ausführung beliebiger Befehle auf dem Betriebssystem führen können. SAP hat das Problem behoben, indem die betroffenen Methoden direkt in die Klasse integriert wurden, ohne dass die Möglichkeit besteht, Parameter an die Methoden zu übergeben. Die betroffenen Klassen und Methoden sind im Abschnitt „Korrekturanweisungen“ verfügbar, indem Sie die Registerkarte „TADIR-Einträge“ aktivieren.

Der SAP-Sicherheitshinweis Nr. 3124094, der mit einem CVSS-Wert von 7,7 versehen ist, behebt eine Directory-Traversal-Sicherheitslücke im SAF-T-Framework. Dieses Framework wird verwendet, um SAP-Steuerdaten in das Standard Audit File Tax-Format (abgekürzt SAF-T) und zurück zu konvertieren. SAF-T ist ein internationaler OECD-Standard für den elektronischen Datenaustausch, der es Steuerbehörden aller Länder ermöglicht, Daten für steuerliche Zwecke zu akzeptieren. Eine unzureichende Validierung von Pfadinformationen im Framework ermöglicht es einem Angreifer, die gesamte Dateisystemstruktur auszulesen.

Zusammenfassung und Schlussfolgerungen

Mit 21 neuen und aktualisierten Sicherheitshinweisen, darunter vier HotNews-Hinweise (von denen zwei neu sind) sowie sechs neue und aktualisierte Hinweise mit hoher Priorität, liegt der letzte SAP Patch Tuesday des Jahres 2021 leicht über dem diesjährigen Durchschnitt. Die Log4j-Sicherheitslücke sowie die in den SAP-Sicherheitshinweisen Nr. 3109577 und Nr . 3113593 beschriebenen Schwachstellen zeigen, dass die Verwendung von Open-Source-Bibliotheken stets mit Risiken verbunden ist. Die Möglichkeit, neue Funktionen in kurzer Zeit zu implementieren, wird mit der Abhängigkeit von der Sicherheit der externen Bibliotheken erkauft. Denken Sie daran: Ein Softwareprodukt ist nur so sicher wie seine schwächste Softwarekomponente. 

Onapsis Research Labs aktualisiert die Platform kontinuierlich, Platform neu bekannt gewordene Sicherheitslücken zu berücksichtigen, Platform unsere Kunden ihre Unternehmen schützen können.

Wenn Sie mehr über die neuesten SAP-Sicherheitsprobleme und unsere kontinuierlichen Bemühungen erfahren möchten, Wissen mit der Sicherheits-Community zu teilen, abonnieren Sie unseren monatlichen „Defender’s Digest“- Newsletter.

Stichworte,
Über den Autor

Thomas Fritsch

Als führender SAP-Sicherheitsforscher bei Onapsis gilt Thomas Fritsch als anerkannte Autorität in den Bereichen vulnerability management und neue Bedrohungen. Aufgrund seiner langjährigen Erfahrung als SAP-Experte konzentriert er sich auf hochtechnische Bereiche wie die Konfiguration von SAP-Systemen und das Transportmanagement. Thomas’ Analysen der neuesten SAP-Sicherheitspatches und -Schwachstellen sind ein zentraler Bestandteil der Forschungsarbeit, die Unternehmen die fundierten und umsetzbaren Erkenntnisse liefert, die sie zum Schutz ihrer Systeme benötigen. Seine Rolle als angesehener Redner und Autor festigt seinen Ruf als maßgebliche Stimme im Bereich der SAP-Cybersicherheit und trägt dazu bei, die Lücke zwischen komplexer Forschung und praktischen Sicherheitsmaßnahmen in der realen Welt zu schließen.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen