SAP Security Patch Day: CVE-2024-22127 – Critical Vulnerability Demand Immediate Action
2024/03/12 securityonline — エンタープライズ・ソフトウェアのリーダーである SAP は、March 2024 Security Patch Day の一環として、広く使用されている製品群に存在する、複数の脆弱性に対処するパッチ一式をリリースした。リストのトップは、コード・インジェクションの脆弱性を修正した、脅威度が高い3つの “Hot News” セキュリティ・ノートである。これらの脆弱性が悪用されると、攻撃者に、影響を受けたシステムを完全に侵害される可能性がある。
Chromium の脆弱性
1つ目の “Hot News” は、SAP Business Client 内の Chromium 組み込みブラウザ用パッチのアップデートである。この、2018年にリリースされたアップデートは、複雑なソフトウェア環境におけるセキュリティ維持の、継続的な課題を浮き彫りにしている。
SAP Build Apps のコード・インジェクションの脅威
2つ目の Hot News は、SAP Build Apps で開発されたアプリケーションに存在する、コード・インジェクションの脆弱性 CVE-2019-10744 である。この脆弱性の CVSS は 9.4 と高く、企業システムにおける危険性が明示されている。
SAP NetWeaver のバックドアを開く Java の脆弱性
3つ目は、SAP NetWeaver AS Java の Administrator Log Viewer プラグインで発見された、コード・インジェクションの脆弱性 CVE-2024-22127 (CVSS:9.1) である。この脆弱性は、SAP NetWeaver Administrator AS Java のバージョン 7.50 に存在する。高権限を持つ攻撃者が CVE-2024-22127 を悪用し、悪意のファイルをアップロードすることで 、アプリケーションの機密性/完全性/可用性に深刻な影響が生じる可能性がある。
その他の脆弱性
SAP は、Hot News の他にも、3つの重大性の高い脆弱性に対処している:
- CVE-2023-39439:SAP Commerce Cloud における認証バイパスの脆弱性。攻撃者による、不正購入やデータ盗難が生じる可能性がある。
- CVE-2023-44487:SAP HANA におけるサービス拒否の脆弱性。悪用されると、重要な業務に支障をきたす可能性がある。
- CVE-2023-50164:SAP BusinessObjects におけるパス・トラバーサルの脆弱性。攻撃者に、機密データへのアクセスをゆるす可能性がある。
ただちにパッチ適用を!
March 2024 Patch Day は、最も堅牢なエンタープライズ・ソフトウェアであっても、致命的な欠陥から免れることはできないという現実を物語っている。SAP の顧客に強く推奨されるのは、これらの脆弱性がもたらす深刻なリスクを軽減するために、直ちにパッチを適用することだ。
SAP の は Security Patch Day は、Microsoft および Adobe とシンクロして第2火曜にでてくる、もう一つの Patch Tuesday なのです。キュレーション・チームは、この日はてんてこ舞いなので、SAP は翌日などに対応しているようです。身が持たないと言っていました。よろしければ、SAP で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.