情報処理推進機構セキュリティセンター(IPA/ISEC)とJPCERT コーディネーションセンター(JPCERT/CC)は10月14日、SAPの「SAP BusinessObjects」に含まれるAxis2コンポーネントの管理用アカウントを悪用される問題が確認されたと「Japan Vulnerability Notes(JVN)」で発表した。
SAP BusinessObjectsは、SAPが提供するビジネスインテリジェンス(BI)製品。SAP BusinessObjectsに含まれているAxis2モジュール(dswsbobje.war)に出荷時に設定されている管理用アカウントは、製品ドキュメント以外の方法でも入手できる。
このため、リモートの第三者がAxis2コンポーネントにログインし、悪意あるウェブサービス(jar)をアップロードした後に再起動することで、任意のコードを実行される可能性がある。該当するユーザーは、ベンダーが提供する情報をもとに最新版へアップデートするか、axis2.xml内に含まれているパスワードの値を変更し、デフォルトのパスワードを変更する必要があるとしている。
ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)
日本企業のDXを阻むのは、「21の習慣病」--アビームコンサルティング
アクセンチュア、デジタル成長の加速を狙う新体制での戦略を発表
サービスインから1年が経った楽天モバイルを分析する--インフラ編
リモートワークの普及がもたらす変化--2021年に予想される5つの動き
DX実現へのファーストステップ!よくわかるSAP基幹システムのクラウド移行と運用の勘所
ドコモ口座事件から学ぶ不正利用防止策—金融サービスに潜む脆弱性とそのからくりとは?
いま利用中のAWS・Azureのコストが25%削減できる?!クラウド管理ツールの実力を徹底比較
サイバーリーズンNocturnusチーム報告「2020年下半期サイバー脅威アラート」
【事例】米スーパーマーケット「Harmons」が実践した新型コロナウイルス回避術とは
MITスローン編著、経営層向けガイド「AIと機械学習の重要性」日本語版
コンテナセキュリティ入門ーコンテナ保護の基礎知識
前経済産業省審議官 三角育生氏が語る「新時代のセキュリティ対策」
悲惨な「ひとり情シス」を脱却するための7つの話題!うまく回している人が実践していることとは?
見えてきた“悪意のあるインフラストラクチャ”の恐るべき実態
エンタープライズ・コンピューティングの最前線を配信
ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET
Japanをご覧ください。
