Log4J Sicherheitslücke
Log4J ist ein Framework zum Protokollieren von Anwendungsmeldungen. Das „J“ steht für die Verwendung innerhalb der Programmiersprache Java. Log4J ist sehr beliebt und hat daher eine sehr weitreichende Verbreitung innerhalb einer großen Anzahl an Anwendungssoftware.
Die bekannt gewordene Sicherheitslücke wird zurzeit aktiv ausgenutzt, um Schadsoftware auf die Server einzuspielen und damit Zugang zu Daten zur erhalten, weiterverkauft werden sollen oder damit den Inhaber zu erpressen. Aus diesem Grund ist es wichtig die betroffenen Systeme zu identifizieren und die Sicherheitslück(en) zu schließen.
Da auch SAP Business One betroffen ist, habe ich hier einmal die wichtigsten Informationen zusammengetragen.
Welche Systeme / SAP Business One Komponenten sind betroffen?
Dazu dient die Übersicht in der folgenden Tabelle:
| Betroffene Komponente | eingesetzte Version(en) |
|---|---|
| SAP Business One Workflow | ab 9.3 PL07 |
| SAP SAP Business One License Server* | ab 10.0 FP2008 bis einschl. FP2108 |
| SAP Business One Service Layer | ab 10.0 FP2008 bis einschl. FP2108 |
| SAP Business One Job Service | ab 10.0 FP2102 bis einschl. FP2108 |
| SAP Business One Extension Manager | ab 10.0 FP2008 bis einschl. FP2108 |
| SAP Business One Integration Framework | ab 10.0 FP2105 bis einschl. FP2108 |
*) Teil der Servertools die in jedem System vorhanden sind.
Da die SAP Business One Workflow Komponente sehr selten eingesetzt wird, kann man also davon ausgehen, dass aktuell keine oder nur sehr wenige SAP Business One 9.3 Systeme betroffen sind. Es sei denn, Sie setzten die Workflow Komponente ein.
Alle SAP Business One Systeme ab Version 10.0 Feature Pack 2008 sind betroffen, da der SAP Business One License Manager zwingend installiert werden muss. Die weiteren Komponenten sind zu prüfen und ggf. mit den betroffenen Versionen zu vergleichen.
Wo kann ich meine SAP Business One Version sehen?
Ihre SAP Business One Version können Sie über das SAP Business One Menü Hilfe > Info einsehen.
Wie wird die Sicherheitslücke geschlossen?
SAP wird ein Feature Pack oder sogar einen Hotfix bereitstellen, sodass alle betroffenen Systeme aktualisiert werden können / müssen. Allerdings wird dieses Update noch eine Weile benötigen. In der Zwischenzeit stellt SAP den Hinweis 3131789 zur Verfügung, der im Kundenportal abgerufen werden kann. In diesem Hinweis ist genau beschrieben, wie die Sicherheitslücke der einzelnen SAP Business One Komponenten geschlossen werden können. Allerdings stellt SAP in dem Hinweis auch klar, dass es sich bei dieser Anleitung lediglich um eine temporäre Lösung handelt und das unsere Kunden nicht um ein Upgrade herumkommen werden.
An wen kann ich mich wenden, wenn ich weitere Informationen / technische Unterstützung benötige?
Ihr SAP Business One Partner ist hier die erste Anlaufstelle. Sollten Sie darüber hinaus weitere Unterstützung benötigen, oder Fragen haben, wenden Sie sich gern an uns. Nutzen Sie dazu einfach das untenstehende Kontaktformular.
Sebastian Gerber ist SAP Business One Experte und bekannt aus LinkedIn Learning und video2brain. Darüber hinaus ist er Inhaber der Versino Ost GmbH und vom SAP Business One Fachverlag B1Publish.
