Vermutlich haben Sie es in den vergangenen Tagen schon in den IT-Nachrichten gehört:
Die populäre Open-Source Logging-Bibliothek Apache Log4j weist eine schwerwiegende Zero-Day-Sicherheitslücke auf, die sich durch simples Loggen eines speziellen Strings ausnützen lässt. Ein erfolgreiches Ausnützen der Schwachstelle kann zu einer vollständigen Kompromittierung des betroffenen Systems führen.
Apache Tomcat ist Bestandteil sehr vieler Installationen von SAP BusinessObjects und nutzt dort Log4j für Logging-Aktivitäten, somit war auch die Beunruhigung in der SAP BO-Welt groß.
Hier nun die Entwarnung: Die SAP BusinessObjects BI Plattform ist NICHT von dieser Log4j-Sicherheitslücke betroffen. Die betroffene Komponente ist das JNDI Package und dieses wird beim Logging in SAP BO nicht verwendet.
Hier der Link zum Artikel am SAP Support Portal: 3129956 - CVE-2021-44228 - BusinessObjects impact for Log4j vulnerability - SAP ONE Support Launchpad
Generell empfehlen wir, Ihre SAP BO-Systeme stets aktuell zu halten und die letzten Support Packs und Security Patches zu installieren. Sollten Sie dabei Hilfe benötigen, so unterstützen wir Sie gerne dabei. Kontaktieren Sie uns gerne jederzeit!
