2020年7月13日 (現地時間)、SAP が SAP NetWeaver Application Server Java (SAP NetWeaver AS Java) の脆弱性 (CVE-2020-6287) に関する情報を公開しました。また同日、米 CISA が同脆弱性についてアラートを公開しています。
SAP NetWeaver AS Java の LM Configuration Wizard コンポーネントには脆弱性があり、脆弱性が悪用されると、認証されていない遠隔の第三者が当該製品を制御するおそれがあります。本脆弱性の影響を受ける製品やバージョンなどの詳細については、SAP が提供する情報を参照してください。
SAP
SAP Security Patch Day – July 2020
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=552599675
CISA Alert (AA20-195A)
Critical Vulnerability in SAP NetWeaver AS Java
https://us-cert.cisa.gov/ncas/alerts/aa20-195a
SAP
SAP Security Note #2939665 (閲覧には認証が必要)
https://launchpad.support.sap.com/#/notes/2939665
対策として、SAP が提供するパッチを適用することが推奨されています。特に、当該製品がインターネット経由で接続可能な状態で稼働している場合、速やかに対策を実施することが推奨されています。また、速やかに対策を実施できない場合、回避策として LM Configuration Wizard サービスの停止も推奨されているため、併せてご検討ください。
CyberNewsFlash は、注意喚起とは異なり、発行時点では注意喚起の基準に満たない脆弱性の情報やセキュリティアップデート予告なども含まれます。今回の件を含め、提供いただける情報がありましたら、JPCERT/CCまでご連絡ください。
一般社団法人JPCERTコーディネーションセンター (JPCERT/CC)
早期警戒グループ
Email: ew-info@jpcert.or.jp