SAP Financial Consolidationの緊急度の高い脆弱性を修正(CVE-2024-37177、CVE-2024-34688)
2024年6月11日公開されたSAPのセキュリティ パッチ デーには緊急性の高い脆弱性2件が含まれており、この脆弱性(CVE-2024-37177、CVE-2024-34688)に関して記載します
緊急度の高い脆弱性の内容
脆弱性:CVE-2024-37177 の概要
SAP Financial Consolidation におけるクロスサイト スクリプティング (XSS) の脆弱性
信頼できないソースから Web アプリケーションにデータが入力される可能性があります。
これらのエンドポイントはネットワーク上で公開されており、ユーザーは Web サイトのコンテンツを変更することができます。攻撃者がこれを悪用すると、アプリケーションの機密性と整合性に重大な影響を与える可能性があります。
脆弱性:CVE-2024-34688の概要
SAP NetWeaver AS Java のメタ モデル リポジトリ サービスへのアクセスが制限されていないため、攻撃者はアプリケーションに対して DoS 攻撃を実行でき、正当なユーザーがアプリケーションにアクセスできなくなる可能性があります。これにより、機密性と整合性には影響はありませんが、アプリケーションの可用性に大きな影響が出る可能性があります。
引用:SAP Security Patch Day – June 2024
なぜSAPが求められるのか?SAPの強み
SAPはグリコのシステム切り替えにより、商品出荷が遅延すると言った事が発生しましたが、
それでもSAPはERPは世界シェアNO1です。参考までにSAPの持つ特徴や強みは以下です。
強み①: 大企業向け
強み②: テンプレートが充実
強み③: グローバル対応
強み④: 豊富な導入実績とサポート体制