Zahlreiche Server und Apps sind gefährdet Kritische Schwachstelle Log4j

Kritische Schwachstelle in Log4j

Erhöhtes Risiko für Server und Apps 

 

Das derzeit weltweit kursierende IT-Sicherheitsthema bewegt uns alle. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht in der Sicherheitslücke der Log4j Bibliothek eine kritische Bedrohungslage. Über die Sicherheitslücke namens Log4Shell in der weitverbreiteten Java-Logging-Bibliothek Log4j können Angreifer beliebigen Code ausführen lassen. Betroffen sind etwa Dienste von Apple, Twitter, Steam, Amazon und leider auch SAP Business One.

Aktuell haben wir die Einschätzung und Maßnahmen der SAP zu SAP Business One bekommen, die wir gerne wegen der Dringlichkeit mit Ihnen teilen wollen. Um es vorwegzunehmen: technisch ist SAP Business One in bestimmten Modulen betroffen! Produkte von cobi, maringo, boyum und core sind nach deren Aussage nicht betroffen. Aber das Risiko ist einschätzbar. Die Sicherheitslücke besteht in jedem Fall, wenn bestimmte SAP-Dienste oder -Programme direkt über das Internet erreichbar sind.

Deshalb empfehlen wir Ihnen dringend: Lassen Sie die IT-Infrastruktur Ihres Unternehmens überprüfen und absichern. Sollten Sie bei uns in der Cloud sein, so kümmern selbstverständlich wir uns darum. Dies ist Teil unserer Dienstleistung. Sofern Sie direkt aus dem Internet erreichbare SAP-Programme wie Kasse, SAP Mobile Apps, …etc., empfehlen wir, diese umgehend abzuschalten, bis eine Lösung für Ihre konkrete Anwendung zur Verfügung steht.

 

Diese müssen wir gemeinsam mit Ihnen bewerten. 

Mögliche betroffene Releases und Komponenten:

 

  • SAP 9.3 PL07 – 10.0 FP2108 (PL07) sowohl SQL wie auch HANA
  • Verschiedene Webbasierte SAP Dienste
  • Erhöhtes Risiko besteht bei Verbindungen die von Aussen zugänglich sind.

Intern ist man keiner akuten Gefahr ausgesetzt. Dennoch sollten die Anpassungen und Fixes die SAP aktuell publiziert auch intern implementiert werden. 

Empfehlungen:

 

  • Alle ausgehenden/eingehenden Verbindungen im Zusammenhang mit SAP überprüfen
  • Mobile Apps (B1i, Service, Sales) vorerst deaktivieren resp. Dienste abschalten
  • B1i Dienst (Integration Framework) der gegen aussen zugänglich ist vorerst abschalten
  • Service Layer, B1i Integration Framework vorerst abschalten

Wir können ihr System auf diesbezügliche SAP Schwachstellen überprüfen und temporäre Fixes von Seiten SAP implementieren.
 

Es gibt hierzu eine entsprechende Note zum Download

 

Wir unterstützen Sie gern!

 
Kommen Sie bitte auf uns zu, wenn wir Sie mit unseren Diensten unterstützen sollen. Es ist davon auszugehen, dass mit einem der nächsten Releases der SAP das Problem vollständig gelöst wird. Insofern empfehlen wir Ihnen hier die Maßnahme eines Updates einzuplanen. Darüber hinaus bieten wir Ihnen sehr gerne unsere Dienstleistungen und Unterstützung an, um auch bei diesem Problem Ihnen partnerschaftlich zu helfen.

 

Kontaktieren Sie unseren Support 
Demo anfordern