Aktuelle BSI-Meldung
SAP ASE und Sicherheitslücke Log4j
Am 10. Dezember 2021 ist die kritische Zero-Day-Sicherheitslücke namens Log4Shell in der weitverbreiteten Java-Logging-Bibliothek Log4j bekannt geworden.
Auch an SAP Adaptive Server Enterprise (Sybase) sowie SQL Anywhere geht das log4j-Sicherheitsproblem CVE-2021-44228 (BSI-Link) nicht ganz spurlos vorbei.
SAP hat die BSI-Meldung vom Freitag umgehend aufgegriffen und arbeitet daran. Aktuell sind folgende Produkte bzw. Anwendungen von uns als potentiell relevant identifiziert, da diese das log4j-Framework verwenden:
- SAP ASE Cockpit (vormals Sybase Control Center)
- DBISQL
- SAP ASE Web Services
Wir aktualisieren diese Liste, sobald uns neue Erkenntnisse und Informationen vorliegen.
⚠️Kunden mit direktem Zugriff auf die SAP-KBAs empfehlen wir unabhängig davon, sich auch dort direkt zu informieren, da Blog-Artikel naturgemäß mehr oder weniger stark asynchron wirken.