Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「SAP NetWeaver AS Java」に深刻な脆弱性 - 即時対応を

「SAP NetWeaver Application Server Java」に深刻な脆弱性が含まれていることがわかった。アップデートが提供されており、セキュリティ機関では利用者へ早急に対応するよう注意を呼びかけている。

SAPが7月の月例セキュリティパッチを公開し、同製品の「LM構成ウィザードサービス」に深刻な脆弱性「CVE-2020-6287」が含まれていることが明らかとなったもの。

脆弱性は「同7.50」および「同7.30」までの以前のバージョンに存在。外部より認証なしにウェブインタフェースを通じて悪用が可能で、機密性の高い情報の変更や取得、重要なビジネスプロセスの中断など、SAPアプリケーションの侵害が可能になるという。共通脆弱性評価システム「CVSSv3」におけるベーススコアは最高値である「10」とレーティングされている。

脆弱性の公表を受けて、米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、7月13日の時点で悪用は確認されていないが、パッチの公開にともない、リバースエンジニアリングによってエクスプロイトが作成されるおそれがあると指摘。

ただちに修正プログラムを適用するよう呼びかけるとともに、適用できない場合は、「LM構成ウィザードサービス」を無効にするなど対策を呼びかけた。対策を講じるまで24時間以上かかる場合は、通常とは異なる挙動が生じていないか監視することを強く推奨している。また国内においてもJPCERTコーディネーションセンターが利用者に注意を呼びかけている。

(Security NEXT - 2020/07/14 ) このエントリーをはてなブックマークに追加

PR

関連記事

Adobe、複数製品にセキュリティ更新 - CVSS基本値「9.8」の脆弱性も
SAP、月例パッチ13件をリリース - 重要度がもっとも高い「HotNews」は2件
「QVR」が稼働するQNAP製NASにRCEの脆弱性が判明
VMware、「vRO」など複数製品の脆弱性を修正
「Adobe Acrobat/Reader」に深刻な脆弱性 - 修正パッチが公開
MS、10月の月例セキュリティ更新をリリース - ゼロデイ脆弱性1件含む74件を解消
Google、「Chrome 94.0.4606.81」を公開 - 脆弱性4件を修正
「iOS 15.0.2」「iPadOS 15.0.2」がリリース - 悪用報告ある脆弱性に対処
Nike製アプリに脆弱性 - フィッシングに悪用されるおそれ
わずか3日、「Apache HTTPD」が再修正 - 前回修正は不十分、RCEのおそれも