Log4Shell (Log4j -Lücke) & SAP Business One
17 Dez

Log4Shell (Log4j -Lücke) & SAP Business One

Eine Sicherheitslücke „Log4Shell“ (CVE-2021-44228) wurde am 10.12.02021 vom Bundesamt für Sicherheit (BSI) mit der Stufe Rot als extrem kritisch kategorisiert. Auch im Zusammenhang mit SAP Business One können Softwarekomponenten von der Log4j -Lücke betroffen sein.

Log4j mit Lücken

Die Bezeichnung Log4Shell verweist auf den Umstand, dass sich die vorhandene Lücke in einer weitverbreiteten Java-Codebibliothek mit den Namen Log4j (Logging for Java) auftut. Angreifer, können diese Lücke so nutzen, dass sie eine die Möglichkeit erhalten, jeden Systemcode ihrer Wahl auszuführen.
Anders ausgedrückt: Ohne die Notwendigkeit einer Anmeldung oder/und Passwort oder anderen Zugriffsbarrieren könnten Hacker eine harmlos daherkommende Anfrage anwenden, um Server zu kapern. Diese werden dann dazu gebracht sich zu melden, einen Code downloaden der Malware enthält.

SAP Business One von Log4Shell betroffen

SAP hat 32 Anwendungen identifiziert, die von CVE-2021-44228 betroffen sind. Mit Stand von gestern, dem Patch Tuesday, hat der Softwarehersteller bereits 20 dieser Anwendungen gepatcht und arbeitet immer noch fieberhaft an weiteren Korrekturen. Auch SAP Business One ist betroffen. SAP hat hierzu bereits eine Note verfasst (ein S-User wird benötigt), der sich hauptsächlich auf die Version SAP Buiness One 10 bezieht.

Folgende Komponenten sind betroffen:

  • Workflow
  • License Server
  • Service Layer
  • Job Service
  • Extension Manager
  • Integration Framework (B1i)

Entwarnung für MariProject in Sachen Log4Shell

Log4Shell ist für MARIProject, einer der großen Erweiterungen für SAP Business One, laut Hersteller kein Problem. MARIProject verzichtet weitgehend auf die Verwendung von Java und ist damit von der Log4j-Lücke nicht betroffen. Dies gilt im Speziellen für den Webclient, Mobilclient, Webservice und RESTService.

Auch Coresuite nicht betroffen

Auch für die Produkte von Coresystems kann weitgehend Entwarnung gegeben werden.

Die folgenden Softwareprodukte sind nicht betroffen:

  • Coresuite und seine Module
  • Coresuite Service
  • Coresuite Cube
  • SAP B1 Cloud Connector

Bei den folgenden Produkten wurde festgestellt, dass sie Log4J verwenden. Entsprechende Patches oder empfohlene temporäre Korrekturen wurden angewendet:
SAP Field Service Management
Da FSM eine Cloud-basierte Lösung ist, sind keine Maßnahmen seitens der Kunden erforderlich.

CKS DIGITAL lässt Log4Shell kalt

Eine globale Absage an irgendwelche Effekte gibt es von C.K. Solutions. Weder CKS.DMS, CKS.ADC, CKS.EINVOICE, CKS.WEB, CKS.SUISSQR oder CKS.RUN sind irgendwie von „Log4Shell“ betroffen.

COBISOFT von log4j Zero-Day-Schwachstelle nicht betroffen.

Auch die Lösungen von COBISOFT ( COBI.time, COBI.wms, COBI.ppc, Cobi.edi, Cobi.msv) sind von der Lücke in Log4j nicht betroffen.

Boyum auch außen vor

Auch auf dem Support Portal von Boyum gibt es mittlerweile zu lesen, dass keines der Produkte der Boyum-Familie Log4j-Software verwendet und dass sie damit von der Sicherheitslücke nicht betroffen sind.

UPDATE

Mit dem 11.1.2022 hat die SAP das Problem im Zusammenhang mit den Apache Log4j-Schwachstellen in SAP Business One behoben. Um die Lösung zur Anwendung zu bringen, müssen bestehenden SAP Business One Installationen auf die Version 10 FP2111 upgedatet werden.
Mit dem veröffentlichten Patch, empfiehlt die SAP nicht mehr zur Anwendung des oben beschriebenen Workaround (SAP Note/KBA 3131789).


Kontakt Versino
E-Invoice Solution

MariProject / Tool für die E-Rechnung

Ab dem Jahr 2025 sind Unternehmen in Deutschland verpflichtet, E-Rechnungen zu empfangen und zu verarbeiten. Das digitale Posteingangsbuch von MariProject ...
cks.eINVOICE

cks.eINVOICE -Addon für XRechnung & ZUGFeRD

Ab dem 1. Januar 2025 tritt eine bedeutende Änderung für Unternehmen im B2B-Bereich in Kraft: die verpflichtende Einführung der E-Rechnung ...
Electronic-File-Manager -SAP Business One

SAP Business One Electronic File Manager (EFM)

Der Electronic File Manager (EFM) ist ein wertvolles Add-on für SAP Business One, das Unternehmen ermöglicht, elektronische Dateiformate effizient zu ...
SAP Business One Einkaufsbelege

Einkaufsbelege in SAP Business One – durchgehend effizient

Im Beschaffungsprozess von mittelständischen Unternehmen ist ein effizientes Management der Einkaufsbelege entscheidend. SAP Business One bietet alle notwendigen Funktionen, um ...
Rahmenvertraege-SAP-Business-One.png

Rahmenverträge in SAP Business One

Rahmenverträge in SAP Business One sind Vereinbarungen, die festlegen, dass bestimmte Mengen an Waren oder Dienstleistungen über einen festgelegten Zeitraum ...
EUDAMED-Integration-SAP-Business-One

EUDAMED Integration mit SAP Business One

Warum EUDAMED eingeführt wurde Die Europäische Kommission hat die EUDAMED-Datenbank schob vor einiger Zeit ins Leben gerufen, um die Überwachung ...
Wird geladen …