「SAP NetWeaver AS Java」に深刻な脆弱性、月例パッチで対処 [872145558]

1 ：番組の途中ですがアフィサイトへの＼(^o^)／です (ﾜｯﾁｮｲW 75c7-d/jz)：2020/07/16(Thu) 07:42:59 ?2BP ID:nlqoatU90.net

sssp://img.5ch.net/ico/anime_morara04.gif
「SAP NetWeaver AS Java」に深刻な脆弱性、月例パッチで対処 - ZDNet Japan - https://japan.zdnet.com/article/35156794/

2 ：番組の途中ですがアフィサイトへの＼(^o^)／です (ﾜｯﾁｮｲW 75c7-d/jz)：2020/07/16(Thu) 07:43:19 ?2BP ID:nlqoatU90.net

sssp://img.5ch.net/ico/anime_morara04.gif
「SAP NetWeaver AS Java」に深刻な脆弱性、月例パッチで対処

Catalin Cimpanu （ZDNet.com） 翻訳校正： 湯本牧子 高森郁哉 （ガリレオ）

2020-07-15 11:48

　ビジネスソフトウェア大手の独SAPは現地時間7月14日、同社顧客の多くに影響する深刻な脆弱性のパッチを公開した。クラウドセキュリティ企業Onapsisによると、この脆弱性「RECON（Remotely Exploitable Code On NetWeaver）」は、企業が容易にハッキングされる危険をもたらすという。Onapsisは5月にこの脆弱性を発見し、修正を促すために問題をSAPに報告した。
SAPのロゴ
提供：ZDNet

　Onapsisによると、悪意ある攻撃の実行者はRECONを利用することで、インターネット上で脆弱なSAPアプリケーションに対して最大限の特権を伴うSAPユーザーアカウントを作成でき、ハッキングした企業のSAPリソースを完全に乗っ取ることができるという。

　この脆弱性は悪用しやすく、「SAP NetWeaver」のJavaテクノロジースタックを実行するすべてのSAPアプリケーションに含まれるデフォルトコンポーネント、つまり「SAP NetWeaver Application Server（AS）」のコンポーネント部分である「LM Configuration Wizard」に存在する。

　このコンポーネントは、「SAP S/4HANA」「SAP SCM」「SAP CRM」「SAP PI」「SAP Enterprise Portal」「SAP Solution Manager（SolMan）」など、SAPの広く普及している製品の一部で使われている。

　SAP NetWeaverのJavaテクノロジースタックを実行している他のSAPアプリケーションも影響を受ける。Onapsisの推計によると、影響を受けるSAP顧客の数は約4万にのぼるという。ただし、そのすべてがインターネット上で直接、脆弱なアプリケーションを危険にさらしているわけではない。

　Onapsisがスキャンしたところ、現時点でRECONに対して脆弱なインターネットに直接さらされていたSAPシステムは、約2500件確認されたという。

　この脆弱性は、共通脆弱性評価システム（CVSS）で最も深刻な「10」とレーティングされている。

3 ：番組の途中ですがアフィサイトへの＼(^o^)／です (ｽﾌﾟﾌﾟ Sdfa-IsD/)：2020/07/16(Thu) 07:44:45 ID:sR7xKZo5d.net

回線切れば余裕っすよ

4 ：番組の途中ですがアフィサイトへの＼(^o^)／です ：2020/07/16(木) 08:11:02.98 ID:zlsq6AYi0.net

↑スタンドアローンのSAPってナニソレw