情報処理推進機構セキュリティセンター(IPA/ISEC)とJPCERT コーディネーションセンター(JPCERT/CC)は10月14日、SAPの「SAP BusinessObjects」に含まれるAxis2コンポーネントの管理用アカウントを悪用される問題が確認されたと「Japan Vulnerability Notes(JVN)」で発表した。
SAP BusinessObjectsは、SAPが提供するビジネスインテリジェンス(BI)製品。SAP BusinessObjectsに含まれているAxis2モジュール(dswsbobje.war)に出荷時に設定されている管理用アカウントは、製品ドキュメント以外の方法でも入手できる。
このため、リモートの第三者がAxis2コンポーネントにログインし、悪意あるウェブサービス(jar)をアップロードした後に再起動することで、任意のコードを実行される可能性がある。該当するユーザーは、ベンダーが提供する情報をもとに最新版へアップデートするか、axis2.xml内に含まれているパスワードの値を変更し、デフォルトのパスワードを変更する必要があるとしている。
ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)
「ChatGPT」でグラフや表を作成--エディションごとの機能と作成手順
初歩から理解するネットワークの基礎(1)--ネットワークの基本を分かりやすく解説
「ChatGPT」の高度なプロンプト作成テクニック--適切な回答を引き出す7つのヒント
全銀システム障害の復旧に時間がかかったのはなぜか--NTTデータG・本間社長に聞いてみた
医療系CISOのためのIoTセキュリティガイド、6ステップで理解する
取引先の要件対応で導入したMDRでまさかのトラブル、ローツェが取った改善策とは?
セキュリティアナリストが費やす時間とコストが縮小、IBMとフォレスターの調査で見えた傾向と対策
「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは
給与のデジタル払い解禁、時間外労働割増率アップ、育児休業取得率公表 -- 法改正のポイントを解説
エンタープライズ・コンピューティングの最前線を配信
ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET
Japanをご覧ください。
