米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は7月13日(米国時間)、「SAP Releases July 2021 Security Updates|CISA」において、SAPが2021年7月の月例セキュリティパッチをリリースしたと伝えた。このリリースには不適切な認証やサービス拒否(DoS)、XXE(XML外部エンティティ参照)、不正な情報開示、コードインジェクション、XXS(クロスサイトスクリプティング)などに関連する、計15件の脆弱性の修正が含まれている。
SAPでは毎月第2火曜日に「SAP Security Patch Day」として同社製品で発見された脆弱性に関するセキュリティノートをリリースしている。2021年7月のSAP Security Patch Dayでリリースされたセキュリティノートに関する情報は、次のページにまとめられている。
リストに挙げられている15件の脆弱性のうち、次の2件は優先度が最も高い「ホットニュース(Hot News)」に分類されている。
- SAP Business Client製品に同梱されているGoogle Chromiumのセキュリティ更新
- CVE-2021-27610: SAP NetWeaver ABAPサーバーおよびABAPプラットフォーム製品における不適切な認証
脆弱性の深刻度を表すCVSS v3のスコアは、Chromiumの更新が10.0、CVE-2021-27610が9.9となっている。その他には、優先度「高(Hight)」の脆弱性が2件、「中(Medium)」の脆弱性が10件、「低(Low)」の脆弱性が1件という内訳になっている。
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は、SAPが提供するセキュリティ情報をチェックした上で、必要に応じてアップデートを適用することを推奨している。