情報処理推進機構セキュリティセンター(IPA/ISEC)とJPCERT コーディネーションセンター(JPCERT/CC)は10月14日、SAPの「SAP BusinessObjects」に含まれるAxis2コンポーネントの管理用アカウントを悪用される問題が確認されたと「Japan Vulnerability Notes(JVN)」で発表した。
SAP BusinessObjectsは、SAPが提供するビジネスインテリジェンス(BI)製品。SAP BusinessObjectsに含まれているAxis2モジュール(dswsbobje.war)に出荷時に設定されている管理用アカウントは、製品ドキュメント以外の方法でも入手できる。
このため、リモートの第三者がAxis2コンポーネントにログインし、悪意あるウェブサービス(jar)をアップロードした後に再起動することで、任意のコードを実行される可能性がある。該当するユーザーは、ベンダーが提供する情報をもとに最新版へアップデートするか、axis2.xml内に含まれているパスワードの値を変更し、デフォルトのパスワードを変更する必要があるとしている。
ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)
富士通とNECの中期経営計画--現在地を読み解く
マイクロセグメンテーションの概念と仕組み
今後のIT運用で不可欠なAI--MLOpsの可能性
初歩から理解するネットワークの基礎(1)--ネットワークの基本を分かりやすく解説
オンプレミス導入でセキュアな環境を実現できるグループウェア―2,000名以上の大規模組織での成功事例
なぜランサムウェアはこれほどまでに対策が難しいのか?その理由と有効な対策アプローチを考える
徹底解説!データを活用したリアルタイム分析で意思決定スピードを飛躍的に向上させるBIツールとは
メール経由で感染する「Emotet」、すぐ始められる対策の第一歩とは?
DX推進企業が今すぐ「データマネジメント」に着手すべき理由 成功要因である3つの“P”とは?
エンタープライズ・コンピューティングの最前線を配信
ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET
Japanをご覧ください。
