Eine Sicherheitslücke „Log4Shell“ (CVE-2021-44228) wurde am 10.12.02021 vom Bundesamt für Sicherheit (BSI) mit der Stufe Rot als extrem kritisch kategorisiert. Auch im Zusammenhang mit SAP Business One können Softwarekomponenten von der Log4j -Lücke betroffen sein.

Log4j mit Lücken

Die Bezeichnung Log4Shell verweist auf den Umstand, dass sich die vorhandene Lücke in einer weitverbreiteten Java-Codebibliothek mit den Namen Log4j (Logging for Java) auftut. Angreifer, können diese Lücke so nutzen, dass sie eine die Möglichkeit erhalten, jeden Systemcode ihrer Wahl auszuführen.
Anders ausgedrückt: Ohne die Notwendigkeit einer Anmeldung oder/und Passwort oder anderen Zugriffsbarrieren könnten Hacker eine harmlos daherkommende Anfrage anwenden, um Server zu kapern. Diese werden dann dazu gebracht sich zu melden, einen Code downloaden der Malware enthält.

SAP Business One von Log4Shell betroffen

SAP hat 32 Anwendungen identifiziert, die von CVE-2021-44228 betroffen sind. Mit Stand von gestern, dem Patch Tuesday, hat der Softwarehersteller bereits 20 dieser Anwendungen gepatcht und arbeitet immer noch fieberhaft an weiteren Korrekturen. Auch SAP Business One ist betroffen. SAP hat hierzu bereits eine Note verfasst (ein S-User wird benötigt), der sich hauptsächlich auf die Version SAP Buiness One 10 bezieht.

Folgende Komponenten sind betroffen:

Workflow
License Server
Service Layer
Job Service
Extension Manager
Integration Framework (B1i)

Entwarnung für MariProject in Sachen Log4Shell

Log4Shell ist für MARIProject, einer der großen Erweiterungen für SAP Business One, laut Hersteller kein Problem. MARIProject verzichtet weitgehend auf die Verwendung von Java und ist damit von der Log4j-Lücke nicht betroffen. Dies gilt im Speziellen für den Webclient, Mobilclient, Webservice und RESTService.

Auch Coresuite nicht betroffen

Auch für die Produkte von Coresystems kann weitgehend Entwarnung gegeben werden.

Die folgenden Softwareprodukte sind nicht betroffen:

Coresuite und seine Module
Coresuite Service
Coresuite Cube
SAP B1 Cloud Connector

Bei den folgenden Produkten wurde festgestellt, dass sie Log4J verwenden. Entsprechende Patches oder empfohlene temporäre Korrekturen wurden angewendet:
SAP Field Service Management
Da FSM eine Cloud-basierte Lösung ist, sind keine Maßnahmen seitens der Kunden erforderlich.

CKS DIGITAL lässt Log4Shell kalt

Eine globale Absage an irgendwelche Effekte gibt es von C.K. Solutions. Weder CKS.DMS, CKS.ADC, CKS.EINVOICE, CKS.WEB, CKS.SUISSQR oder CKS.RUN sind irgendwie von „Log4Shell“ betroffen.

COBISOFT von log4j Zero-Day-Schwachstelle nicht betroffen.

Auch die Lösungen von COBISOFT ( COBI.time, COBI.wms, COBI.ppc, Cobi.edi, Cobi.msv) sind von der Lücke in Log4j nicht betroffen.

Boyum auch außen vor

Auch auf dem Support Portal von Boyum gibt es mittlerweile zu lesen, dass keines der Produkte der Boyum-Familie Log4j-Software verwendet und dass sie damit von der Sicherheitslücke nicht betroffen sind.

UPDATE

Mit dem 11.1.2022 hat die SAP das Problem im Zusammenhang mit den Apache Log4j-Schwachstellen in SAP Business One behoben. Um die Lösung zur Anwendung zu bringen, müssen bestehenden SAP Business One Installationen auf die Version 10 FP2111 upgedatet werden.
Mit dem veröffentlichten Patch, empfiehlt die SAP nicht mehr zur Anwendung des oben beschriebenen Workaround (SAP Note/KBA 3131789).