「SAP NetWeaver AS Java」に深刻な脆弱性 - 即時対応を
「SAP NetWeaver Application Server Java」に深刻な脆弱性が含まれていることがわかった。アップデートが提供されており、セキュリティ機関では利用者へ早急に対応するよう注意を呼びかけている。
SAPが7月の月例セキュリティパッチを公開し、同製品の「LM構成ウィザードサービス」に深刻な脆弱性「CVE-2020-6287」が含まれていることが明らかとなったもの。
脆弱性は「同7.50」および「同7.30」までの以前のバージョンに存在。外部より認証なしにウェブインタフェースを通じて悪用が可能で、機密性の高い情報の変更や取得、重要なビジネスプロセスの中断など、SAPアプリケーションの侵害が可能になるという。共通脆弱性評価システム「CVSSv3」におけるベーススコアは最高値である「10」とレーティングされている。
脆弱性の公表を受けて、米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、7月13日の時点で悪用は確認されていないが、パッチの公開にともない、リバースエンジニアリングによってエクスプロイトが作成されるおそれがあると指摘。
ただちに修正プログラムを適用するよう呼びかけるとともに、適用できない場合は、「LM構成ウィザードサービス」を無効にするなど対策を呼びかけた。対策を講じるまで24時間以上かかる場合は、通常とは異なる挙動が生じていないか監視することを強く推奨している。また国内においてもJPCERTコーディネーションセンターが利用者に注意を呼びかけている。
(Security NEXT - 2020/07/14 )
ツイート
PR
関連記事
データ分析ツール「Apache Kylin」に認証回避の脆弱性
NoSQLデータベース「Redis」に複数脆弱性 - 「クリティカル」も
「Zabbix」のWindows向けエージェントに権限昇格の脆弱性
「Oracle E-Business Suite」が標的に - 更新や侵害状況の確認を
「Cisco ASA」狙うゼロデイ攻撃、5月に複数政府機関で確認
「MS Edge 141」がリリース - 12件の脆弱性を解消
「Termix」のDockerイメージにSSH認証情報が流出するおそれ
米当局、脆弱性5件の悪用に注意喚起 -10年以上前の「Shellshock」関連も
「Django」に複数の脆弱性 - 修正アップデートを公開
「Firefox」に複数脆弱性 - アップデートが公開
