Aktuelle BSI-Meldung

SAP ASE und Sicherheitslücke Log4j

 

Am 10. Dezember 2021 ist die kritische Zero-Day-Sicherheitslücke namens Log4Shell in der weitverbreiteten Java-Logging-Bibliothek Log4j bekannt geworden.

Auch an SAP Adaptive Server Enterprise (Sybase) sowie SQL Anywhere geht das log4j-Sicherheitsproblem CVE-2021-44228  (BSI-Link) nicht ganz spurlos vorbei.
SAP hat die BSI-Meldung vom Freitag umgehend aufgegriffen und arbeitet daran. Aktuell sind folgende Produkte bzw. Anwendungen von uns als potentiell relevant identifiziert, da diese das log4j-Framework verwenden:

  • SAP ASE Cockpit (vormals Sybase Control Center)
  • DBISQL
  • SAP ASE Web Services

Wir aktualisieren diese Liste, sobald uns neue Erkenntnisse und Informationen vorliegen.
⚠️Kunden mit direktem Zugriff auf die SAP-KBAs empfehlen wir unabhängig davon, sich auch dort direkt zu informieren, da Blog-Artikel naturgemäß mehr oder weniger stark asynchron wirken.