SAPが、「EnjoySAP」および「SAP Web Application Server」にある非常に「重大」な脆弱性に加え、「SAP Message Server」にある中程度の脆弱性に対処するパッチを投入したことが、米国時間7月6日にNext Generation Security Software(NGSS)のMark Litchfield氏が公表したセキュリティ勧告で明らかになった。
脆弱性を発見したLitchfield氏によると、EnjoySAPにあるセキュリティ上の脆弱性は、「kweditcontrol.kwedit.1」および「preparetopostHTML」の両ActiveXコントロールが原因で、バッファオーバーフロー攻撃や、ユーザーのシステムに対するリモートアクセスを可能にする場合があるという。
Litchfield氏が自身の勧告で指摘しているところによると、EnjoySAPは人気の高いSAP GUIの1つだという。また、影響はどのプラットフォームにもあるという。
勧告によると、Windowsで動作するSAP Web Application Serverの「Internet Communication Manager」(ICM)にも非常に「重大なレベル」の脆弱性が複数あるという。ICMはSAP Web Application ServerとHTTP、HTTPS、およびSMTPの各プロトコルとのコミュニケーションを可能にするもの。
しかし、ICMのICMAN.exeコンポーネントに不具合があるため、これが悪用されてDoS(サービス拒否)攻撃を受ける可能性がある。
Litchfield氏は自身の勧告のなかで、「これはSAP環境においてかなり有効なDoS攻撃となる」としている。
中程度のセキュリティ脆弱性が1件、すべてのプラットフォームで稼働されるSAP Message Serverで発見されている。この脆弱性は、HTTPリクエストの処理時に境界エラーが発生した場合に悪用が可能。バッファオーバーフロー攻撃や、リモートからの任意のコードの実行を可能にする場合があるとNGSSの勧告では述べている。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。 海外CNET Networksの記事へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」