SAP、「重大レベル」の脆弱性を修正

文:Dawn Kawamoto(CNET News.com) 翻訳校正:編集部 2007年07月09日 10時57分
  • このエントリーをはてなブックマークに追加

 SAPが、「EnjoySAP」および「SAP Web Application Server」にある非常に「重大」な脆弱性に加え、「SAP Message Server」にある中程度の脆弱性に対処するパッチを投入したことが、米国時間7月6日にNext Generation Security Software(NGSS)のMark Litchfield氏が公表したセキュリティ勧告で明らかになった。

 脆弱性を発見したLitchfield氏によると、EnjoySAPにあるセキュリティ上の脆弱性は、「kweditcontrol.kwedit.1」および「preparetopostHTML」の両ActiveXコントロールが原因で、バッファオーバーフロー攻撃や、ユーザーのシステムに対するリモートアクセスを可能にする場合があるという。

 Litchfield氏が自身の勧告で指摘しているところによると、EnjoySAPは人気の高いSAP GUIの1つだという。また、影響はどのプラットフォームにもあるという。

 勧告によると、Windowsで動作するSAP Web Application Serverの「Internet Communication Manager」(ICM)にも非常に「重大なレベル」の脆弱性が複数あるという。ICMはSAP Web Application ServerとHTTP、HTTPS、およびSMTPの各プロトコルとのコミュニケーションを可能にするもの。

 しかし、ICMのICMAN.exeコンポーネントに不具合があるため、これが悪用されてDoS(サービス拒否)攻撃を受ける可能性がある。

 Litchfield氏は自身の勧告のなかで、「これはSAP環境においてかなり有効なDoS攻撃となる」としている。

 中程度のセキュリティ脆弱性が1件、すべてのプラットフォームで稼働されるSAP Message Serverで発見されている。この脆弱性は、HTTPリクエストの処理時に境界エラーが発生した場合に悪用が可能。バッファオーバーフロー攻撃や、リモートからの任意のコードの実行を可能にする場合があるとNGSSの勧告では述べている。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。 海外CNET Networksの記事へ

  • このエントリーをはてなブックマークに追加