複数の脆弱性、未承認攻撃者により任意のコードが実行される

2020年8月12日、SAPは定例のセキュリティアップデートをリリースしました。7月の重大な脆弱性に引き続き、複数の脆弱性が発見されています。深刻な脆弱性は、未認証の攻撃者により任意のコードが実行される可能性があります。

脆弱性の詳細

SAP NetWeaver AS JAVAでの脆弱性は、2020年7月のアップデートによる脆弱性です。対象のバージョンは、7.30、7.31、7.40、7.50です。

SAP NetWeaverのその他の脆弱性は、ナレッジ管理、ABAPサーバー、ABAPプラットフォームなどがあり、クロスサイトスクリプティングや認可チェックなどの欠陥になります。

SAP NetWeaver以外だと、SAP Business Objects Business Intelligence Platform、SAPバンキングサービス、SAP Adaptive Server Enterprise、 SAP ERP(HCM旅行管理)、SAP S / 4 HANA(総勘定元帳のFiori UI)などがあります。

脆弱性への対応について

先のSAP NetWeaver AS JAVAでの脆弱性および、SAP NetWeaver(ナレッジマネジメント)におけるクロスサイトスクリプティングの脆弱性は、適用優先度が高い10に設定されており、早急なアップデートを勧めています。

また、優先度の高い脆弱性も6件あり、ユーザーはサポートポータルにアクセスし、パッチの適用が必要です。

なお、これらの脆弱性は2020年8月12日時点で悪用された報告はありません。

(画像はPixabayより)

▼外部リンク

SAP Security Patch Day
https://wiki.scn.sap.com/