Microsoft の 2 か月にわたる大量のパッチ、VMware の新しいパッチ、および Dungeons & Dragons がデジタル化されるというニュースに動揺が収まったら、再び覚悟してください。SAP が突然、検討すべき 25 個のパッチと 2 個のパッチを発表しました。
最も深刻な脆弱性(SAPのお客様*はセキュリティノート2424173で詳細をご覧いただけます)は、10段階評価のCVSS脆弱性評価スケールで9.8と評価されています。その理由は、SAPによると、HANAのユーザーセルフサービス機能に影響を与えるこの問題により、「攻撃者がシステムを制御できるようになる可能性がある」ためです。
簡単に侵入できるものではありません。まず、デフォルトで無効になっているユーザーセルフサービスコンポーネントを有効にする必要があります。そして、信頼できないネットワークで実行する必要があります。これらの条件を満たしていない場合は、パッチを適用するか、意図的に無効化することで状況を改善する必要があります。
SAP HANA 拡張アプリケーション サービスには、攻撃者がシステム内の別のユーザーになりすまして権限を昇格できる可能性がある、レベル 8.8 のバグがあります。
また、「SAP GUI for Windows のリモート コード実行の脆弱性」も存在し、スコアは 8.0 です。また、SAP Database Monitors for Oracle に影響する SQL インジェクションの脆弱性に関する古いノートに対する 7.2 の評価の更新もあります。
以下のグラフが示すように、SAP は自社製品のセキュリティに関する優れた統計も公開しています。
これらのグラフを見ると、SAPにとって難しい月だったことがわかります。皆さん、パッチ適用を楽しんでください。少なくとも、今月はパッチ適用の練習をたくさん積むことができるでしょう!®
* SAP のセキュリティ ノートを読むにはログオンが必要ですが、そのログオンは world+dog には配布されません。
