SAP、4月の月例アップデートを公開 - CVSS基本値「9.9」のRCE脆弱性も
SAPは、4月の月例セキュリティパッチを公開した。リモートよりコードを実行されるおそれがある深刻な脆弱性などに対処している。
各社が定例のセキュリティアップデートを公開する米時間毎月第2火曜日、いわゆる「パッチチューズデー」にあわせてアップデートをリリースしたもの。あらたに14件のアドバイザリを公開。既存アドバイザリ5件のアップデートとあわせて対処を求めている。
なかでも「SAP Commerce」で明らかとなったリモートよりコードを実行されるおそれがある脆弱性「CVE-2021-27602」は、共通脆弱性評価システム「CVSSv3.0」においてベーススコアが「9.9」とレーティングされている。
2018年8月に公開された「Google Chromium delivered with SAP」、2021年3月に公開された「SAP NetWeaver AS JAVA」のアドバイザリに対するアップデートとあわせ、これら3件を同社は適用優先度を4段階中もっとも高い「Hot News」とレーティングし、利用者へ早急な対応を促している。
あわせて適用優先度が「高(High)」のアドバイザリ5件や、「中(Medium)」のアドバイザリ11件を公開している。更新も含め、19件のアドバイザリで対処した脆弱性は、CVEベースで以下のとおり。
CVE-2020-26832
CVE-2021-21481
CVE-2021-21482
CVE-2021-21483
CVE-2021-21485
CVE-2021-21491
CVE-2021-21492
CVE-2021-27598
CVE-2021-27599
CVE-2021-27600
CVE-2021-27601
CVE-2021-27602
CVE-2021-27603
CVE-2021-27604
CVE-2021-27605
CVE-2021-27608
CVE-2021-27609
(Security NEXT - 2021/04/15 )
ツイート
PR
関連記事
「Array AG」狙う攻撃、関連する複数IPアドレスを公開 - IPA
「Array AG」にCVE未採番の脆弱性 - 8月に国内で悪用被害
米当局、「ArrayOS AG」脆弱性など2件を悪用リストに追加
Synology製NASに複数脆弱性 - 情報漏洩やDoSのおそれ
「Avast Antivirus」macOS版に脆弱性 - RCEやDoSのおそれ
「MS Edge」にアップデート - 脆弱性14件を解消
「Langflow」に未修正脆弱性、緩和策を - 報告者「修正が後回し」
深刻な「React」脆弱性、米当局が悪用に注意呼びかけ
解析ライブラリ「Apache Tika」に深刻なXXE脆弱性 - コア部分も更新を
「React」脆弱性、実証コード公開 - 悪用リスクが上昇
