サイバーニュース.jp

世界のサイバーなニュースを配信

SAPが緊急セキュリティアップデートを公開:深刻なコード実行およびインジェクション脆弱性を修正

カテゴリ:

はじめに

SAPは、そのエンタープライズソフトウェアポートフォリオ全体にわたる18の新たな脆弱性に対処する重要なセキュリティアップデートをリリースしました。これには、コード実行やデータインジェクションに関連する複数の深刻な欠陥が含まれています。この月次セキュリティパッチデーでは、SAPインフラストラクチャを利用する組織が直ちに注意を払うべき4つの高深刻度脆弱性が特徴となっています。

主要な脆弱性の詳細

最も深刻な脆弱性には、CVSSスコア10.0が付けられています。

  • CVE-2025-42890: SQL Anywhere Monitor (Non-GUI)に影響を与え、安全でないキーおよびシークレット管理に関わるもので、攻撃者が暗号化資格情報を侵害する可能性があります。
  • CVE-2025-42944: SAP NetWeaver AS Javaにおける安全でないデシリアライゼーションの脆弱性です。この欠陥は、認証やユーザーインタラクションを必要とせずに、リモートコード実行を可能にする可能性があります。
  • CVE-2025-42887: SAP Solution Managerにおけるコードインジェクションの欠陥で、CVSSスコアは9.9です。低い権限が必要ですが、攻撃者がSolution Manager環境内で任意のコードを実行できる可能性があります。
  • CVE-2025-42940: SAP CommonCryptoLibにおけるメモリ破損の脆弱性で、高深刻度(CVSSスコア7.5)と評価されています。これは、サービス拒否(DoS)攻撃や情報漏洩につながる可能性があります。

その他の注目すべき脆弱性

これらの重大な脆弱性に加えて、SAPは14の中程度および低深刻度の問題にも対処しました。特に、CVE-2025-42892はSAP Business ConnectorにおけるOSコマンドインジェクションの脆弱性を記述しており、CVE-2025-42889はSAP Starter SolutionにおけるSQLインジェクションに対処しています。同社はまた、JNDIインジェクションの欠陥、オープンリダイレクト、クロスサイトスクリプティング、およびさまざまな製品における認証制御の欠落に関連する問題も解決しました。

パッチ適用と推奨事項

影響を受けるSAPシステムを運用する組織は、展開アーキテクチャに基づいてパッチ適用を優先すべきです。特に、ネットワークからアクセス可能であり、最小限の悪用要件で済むため、重大なデシリアライゼーションおよびキー管理の脆弱性は最も高いリスクをもたらします。SQL Anywhere MonitorおよびNetWeaver AS Java環境には緊急の注意が必要です。

SAPは、管理者がSAPサポートポータルのセキュリティノートを確認し、システム全体にわたって体系的にパッチを適用することを推奨しています。同社は、データの整合性と運用セキュリティを維持するために、安全な設定が不可欠であると強調しています。さらに、以前にリリースされた2つのセキュリティノートが更新されており、以前のパッチの継続的な改善が示されています。

この11月のパッチデーは、SAPの展開を最新の状態に保ち、即座のパッチ適用が不可能な場合には補償制御を実装することの重要性を浮き彫りにしています。組織は、セキュリティの緊急性と運用の安定性のバランスを取る展開戦略を策定するために、SAPサポートチームと協力する必要があります。

脆弱性一覧

  • CVE-2025-42890: Insecure Key & Secret Management (SQL Anywhere Monitor (Non-GUI)) – CVSS 10.0, Critical
  • CVE-2025-42944: Insecure Deserialization (SAP NetWeaver AS Java) – CVSS 10.0, Critical
  • CVE-2025-42887: Code Injection (SAP Solution Manager) – CVSS 9.9, Critical
  • CVE-2025-42940: Memory Corruption (SAP CommonCryptoLib) – CVSS 7.5, High
  • CVE-2025-42895: Code Injection (SAP HANA JDBC Client) – CVSS 6.9, Medium
  • CVE-2025-42892: OS Command Injection (SAP Business Connector) – CVSS 6.8, Medium
  • CVE-2025-42894: Path Traversal (SAP Business Connector) – CVSS 6.8, Medium
  • CVE-2025-42884: JNDI Injection (SAP NetWeaver Enterprise Portal) – CVSS 6.5, Medium
  • CVE-2025-42924: Open Redirect (SAP S/4HANA E-Recruiting BSP) – CVSS 6.1, Medium
  • CVE-2025-42893: Open Redirect (SAP Business Connector) – CVSS 6.1, Medium
  • CVE-2025-42886: Reflected XSS (SAP Business Connector) – CVSS 6.1, Medium
  • CVE-2025-42885: Missing Authentication (SAP HANA 2.0 (hdbrss)) – CVSS 5.8, Medium
  • CVE-2025-42888: Information Disclosure (SAP GUI for Windows) – CVSS 5.5, Medium
  • CVE-2025-42889: SQL Injection (SAP Starter Solution (PL SAFT)) – CVSS 5.4, Medium
  • CVE-2025-42919: Information Disclosure (SAP NetWeaver Application Server Java) – CVSS 5.3, Medium
  • CVE-2025-42897: Information Disclosure (SAP Business One (SLD)) – CVSS 5.3, Medium
  • CVE-2025-42899: Missing Authorization (SAP S4CORE (Manage Journal Entries)) – CVSS 4.3, Medium
  • CVE-2025-42882: Missing Authorization (SAP NetWeaver Application Server ABAP) – CVSS 4.3, Medium
  • CVE-2025-23191: Cache Poisoning via Header Manipulation (SAP Fiori for SAP ERP) – CVSS 3.1, Low
  • CVE-2025-42883: Insecure File Operations (SAP NetWeaver ABAP (Migration Workbench)) – CVSS 2.7, Low

元記事: https://gbhackers.com/sap-releases-security-update-to-fix-critical-code-execution/

投稿をさらに読み込む