SAP、「重大レベル」の脆弱性を修正




 SAPが、「EnjoySAP」および「SAP Web Application Server」にある非常に「重大」な脆弱性に加え、「SAP Message Server」にある中程度の脆弱性に対処するパッチを投入したことが、米国時間7月6日にNext Generation Security Software(NGSS)のMark Litchfield氏が公表した セキュリティ勧告 で明らかになった。

 脆弱性を発見したLitchfield氏によると、EnjoySAPにあるセキュリティ上の脆弱性は、「kweditcontrol.kwedit.1」および「preparetopostHTML」の両ActiveXコントロールが原因で、バッファオーバーフロー攻撃や、ユーザーのシステムに対するリモートアクセスを可能にする場合があるという。

 Litchfield氏が自身の勧告で指摘しているところによると、EnjoySAPは人気の高いSAP GUIの1つだという。また、影響はどのプラットフォームにもあるという。

 勧告によると、Windowsで動作するSAP Web Application Serverの「Internet Communication Manager」(ICM)にも非常に「重大なレベル」の脆弱性が複数あるという。ICMはSAP Web Application ServerとHTTP、HTTPS、およびSMTPの各プロトコルとのコミュニケーションを可能にするもの。

 しかし、ICMのICMAN.exeコンポーネントに不具合があるため、これが悪用されてDoS(サービス拒否)攻撃を受ける可能性がある。

 Litchfield氏は自身の勧告のなかで、「これはSAP環境においてかなり有効なDoS攻撃となる」としている。

 中程度のセキュリティ脆弱性が1件、すべてのプラットフォームで稼働されるSAP Message Serverで発見されている。この脆弱性は、HTTPリクエストの処理時に境界エラーが発生した場合に悪用が可能。バッファオーバーフロー攻撃や、リモートからの任意のコードの実行を可能にする場合があるとNGSSの勧告では述べている。
(2007.7.9/CNET Japan)
[PR]

by fbitnews2006-6 | 2007-07-09 17:20 | インターネット総合  

<< 「焼肉顔かピザ顔か」、顔写真で... Blog の影響力を計測・分析... >>