{"id":489,"date":"2022-01-17T14:10:15","date_gmt":"2022-01-17T13:10:15","guid":{"rendered":"https:\/\/smartersec.com\/?p=489"},"modified":"2022-01-17T16:46:50","modified_gmt":"2022-01-17T15:46:50","slug":"sap-security-patch-day-01-2022","status":"publish","type":"post","link":"https:\/\/smartersec.com\/de\/sap-security-patch-day-01-2022\/","title":{"rendered":"SAP Security Patch Day 01\/2022"},"content":{"rendered":"\n<h2 class=\"wp-block-heading\"><strong>SAP Security Patch Day 01\/2022<\/strong><\/h2>\n\n\n\n<p>Insgesamt wurden im Januar 9 Hinweise&nbsp;von der SAP ver\u00f6ffentlicht<sup>1<\/sup>, wobei&nbsp;Hinweis&nbsp;<a href=\"https:\/\/launchpad.support.sap.com\/#\/notes\/3131047\">3131047<\/a>&nbsp;der Sammelhinweis f\u00fcr die Korrekturen zu Schwachstelle&nbsp;\u201elog4shell\u201c ist&nbsp;\u2013 insgesamt werden dort&nbsp;zus\u00e4tzlich&nbsp;21 weitere Hinweise referenziert&nbsp;(zu \u201elog4shell\u201c unten noch einmal mehr).&nbsp;<\/p>\n\n\n\n<p>Unser Prozess sieht zun\u00e4chst vor, alle Security Patches \u00fcber die Transaktion SNOTE&nbsp;(oder den SAP Solution Manager)&nbsp;ins System zu laden. Anschlie\u00dfend werden alle Hinweise einzeln abgearbeitet. Dazu geh\u00f6rt auch die Pr\u00fcfung der Hinweise, die vom System als \u201enicht einbaubar\u201c gekennzeichnet wurden. Das Ziel ist, zu verstehen warum der Hinweis diesen Status hat, sowie sicherzustellen, dass in der textuellen Beschreibung des Hinweises keine weiteren&nbsp;(manuellen)&nbsp;Aufgaben enthalten sind.&nbsp;<\/p>\n\n\n\n<div class=\"wp-block-image\"><figure class=\"aligncenter size-full\"><img decoding=\"async\" width=\"605\" height=\"88\" src=\"https:\/\/smartersec.com\/wp-content\/uploads\/2022\/01\/P1.png\" alt=\"\" class=\"wp-image-490\" srcset=\"https:\/\/smartersec.com\/wp-content\/uploads\/2022\/01\/P1.png 605w, https:\/\/smartersec.com\/wp-content\/uploads\/2022\/01\/P1-300x44.png 300w\" sizes=\"(max-width: 605px) 100vw, 605px\" \/><\/figure><\/div>\n\n\n\n<p>Am Beispiel des Hinweises <a href=\"https:\/\/launchpad.support.sap.com\/#\/notes\/3080816\">3080816<\/a>: der Hinweis liefert eine Programmkorrektur f\u00fcr das GRC Access Control. Die zugeh\u00f6rige Komponente&nbsp;GRC-ACP,&nbsp;in der die korrigierten Objekte ausgeliefert werden, ist in unserem System nicht enthalten (da es kein GRC System ist). Folglich k\u00f6nnen wir unsere Pr\u00fcfung dokumentieren und den Hinweis auf \u201enicht relevant\u201c setzen.&nbsp;<\/p>\n\n\n\n<div class=\"wp-block-image\"><figure class=\"aligncenter size-full\"><img decoding=\"async\" width=\"756\" height=\"698\" src=\"https:\/\/smartersec.com\/wp-content\/uploads\/2022\/01\/P2.png\" alt=\"\" class=\"wp-image-492\" srcset=\"https:\/\/smartersec.com\/wp-content\/uploads\/2022\/01\/P2.png 756w, https:\/\/smartersec.com\/wp-content\/uploads\/2022\/01\/P2-300x277.png 300w\" sizes=\"(max-width: 756px) 100vw, 756px\" \/><\/figure><\/div>\n\n\n\n<p>Lediglich zwei Hinweise werden in der Transaktion SNOTE als einbaubar gekennzeichnet:&nbsp;<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li><a href=\"https:\/\/launchpad.support.sap.com\/#\/notes\/3112710\">3112710<\/a>: [CVE-2021-42067] Schwachstelle bez\u00fcglich der Offenlegung von Informationen in SAP NetWeaver Application Server for ABAP and ABAP Platform&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &nbsp;<\/li><li><a href=\"https:\/\/launchpad.support.sap.com\/#\/notes\/3123196\">3123196<\/a>: [CVE-2021-44235] Code-Injection-Schwachstelle in Hilfsklasse f\u00fcr SAP NetWeaver AS ABAP<\/li><\/ul>\n\n\n\n<p>Nach Pr\u00fcfung des Hinweistextes ist eine konkrete Auswirkung auf die verwendeten HCM-Prozesse nicht gegeben. Beide Hinweise werden daher direkt eingespielt und ein zus\u00e4tzlicher Regressionstest der&nbsp;HCM-Anwendung ist nicht notwendig. Eine Besonderheit&nbsp;hingegen&nbsp;gibt es bei Hinweis <a href=\"https:\/\/launchpad.support.sap.com\/#\/notes\/3112710\">3112710<\/a>&nbsp;zu vermerken, da hier&nbsp;\u201emanuelle T\u00e4tigkeiten\u201c notwendig sind, d.h. der Hinweis ist erst nach einer per Hand auszuf\u00fchrenden (aber zugegeben minimalen) Korrektur einbaubar.&nbsp;<\/p>\n\n\n\n<p><strong>Sammelhinweis&nbsp;3131047&nbsp;zur \u201elog4shell\u201c Schwachstelle&nbsp;<\/strong><\/p>\n\n\n\n<p>Im Dezember 2021 \u2013 passend zum vorweihnachtlichen Trubel \u2013 bestimmte die Schwachstelle&nbsp;\u201elog4shell\u201c&nbsp;und deren Bereinigung das Tagesgesch\u00e4ft vieler Entwickler, Administratoren und Systemverantwortlicher. Zwei Aspekte machen diese Sicherheitsl\u00fccke besonders: die weite Verbreitung der betroffenen Komponente sowie die einfache Ausnutzbarkeit \u2013das BSI reagierte zwischenzeitlich mit der \u201eIT-Bedrohungslage: rot\u201c<sup>2<\/sup>.&nbsp;Auch Anwendungen der SAP waren&nbsp;breit&nbsp;betroffen: 21(!) Hinweise zu log4shell&nbsp;sind in diesem Sammelhinweis enthalten.&nbsp;<\/p>\n\n\n\n<p>Die Schwachstelle befindet sich in einer weit verbreiteten Open-Source Komponente f\u00fcr Java-Anwendungen (log4j) und wird \u00fcber ein Update auf die neueste Version behoben. Grunds\u00e4tzlich ist also ein anderer Technologie-Stack (Java) betroffen als in dem f\u00fcr diesen Blog ma\u00dfgeblichen System (NW-ABAP Stack). Da die Schwachstelle jedoch hochkritisch ist (einfache Ausnutzung, weite Verbreitung, gro\u00dfe Auswirkung), wurden alle zugeh\u00f6rigen Hinweise manuell gepr\u00fcft, um zu best\u00e4tigen, dass sie (wie erwartet) nicht relevant sind.&nbsp;<\/p>\n\n\n\n<p>In der Pr\u00fcfung ergaben sich keine weiteren notwendigen Aktivit\u00e4ten. Als Konsequenz wurden Hinweise anschlie\u00dfend auf den Bearbeitungszustand \u201enicht relevant\u201c bzw. der Sammelhinweis <a href=\"https:\/\/launchpad.support.sap.com\/#\/notes\/3131047\">3131047<\/a>&nbsp;auf \u201eerledigt\u201c gesetzt.&nbsp;<\/p>\n\n\n\n<div class=\"wp-block-image\"><figure class=\"aligncenter size-full is-resized\"><img decoding=\"async\" src=\"https:\/\/smartersec.com\/wp-content\/uploads\/2022\/01\/P3.png\" alt=\"\" class=\"wp-image-494\" width=\"703\" height=\"250\" srcset=\"https:\/\/smartersec.com\/wp-content\/uploads\/2022\/01\/P3.png 751w, https:\/\/smartersec.com\/wp-content\/uploads\/2022\/01\/P3-300x107.png 300w\" sizes=\"(max-width: 703px) 100vw, 703px\" \/><\/figure><\/div>\n\n\n\n<p>Damit sind wir am Ende unseres Erfahrungsberichts f\u00fcr den Monat Januar angekommen. Wir informieren Sie ab jetzt monatlich \u00fcber unsere Erfahrungen und die Besonderheiten, die Sie beim Einspielen der neuen SAP Security Patches ber\u00fccksichtigen sollten. &nbsp;<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><\/h2>\n\n\n\n<h4 class=\"wp-block-heading\">Referenzen<\/h4>\n\n\n\n<p><sup>1<\/sup>&nbsp;SAP&nbsp;Security&nbsp;Patchday:&nbsp;<a href=\"https:\/\/wiki.scn.sap.com\/wiki\/pages\/viewpage.action?pageId=596902035\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/wiki.scn.sap.com\/wiki\/pages\/viewpage.action?pageId=596902035<\/a>&nbsp;&nbsp;<\/p>\n\n\n\n<p> <sup>2<\/sup> BSI &#8211; Schwachstelle Log4Shell: <a href=\"https:\/\/www.bsi.bund.de\/DE\/Service-Navi\/Presse\/Pressemitteilungen\/Presse2021\/211211_log4Shell_WarnstufeRot.html\">BSI &#8211; Presse &#8211; Update: Warnstufe Rot: Schwachstelle Log4Shell f\u00fchrt zu extrem kritischer Bedrohungslage (bund.de)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Insgesamt wurden im Januar 9 Hinweise\u00a0von der SAP ver\u00f6ffentlicht, wobei\u00a0Hinweis\u00a03131047\u00a0der Sammelhinweis f\u00fcr die Korrekturen zu Schwachstelle\u00a0\u201elog4shell\u201c ist\u00a0\u2013 insgesamt werden dort\u00a0zus\u00e4tzlich\u00a021 weitere Hinweise referenziert.<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[14],"tags":[],"class_list":["post-489","post","type-post","status-publish","format-standard","hentry","category-sap-security-patch-day-de"],"aioseo_notices":[],"acf":[],"_links":{"self":[{"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/posts\/489","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/comments?post=489"}],"version-history":[{"count":7,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/posts\/489\/revisions"}],"predecessor-version":[{"id":527,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/posts\/489\/revisions\/527"}],"wp:attachment":[{"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/media?parent=489"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/categories?post=489"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/tags?post=489"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}