米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は11月9日(米国時間)、「SAP Releases November 2021 Security Updates|CISA」において、SAPが2021年11月の月例セキュリティパッチをリリースしたと伝えた。このリリースには権限/認証チェックの不備や資格情報のハードコーディング、情報開示などに関する7件の脆弱性の修正が含まれている。
SAPでは毎月第2火曜日に「SAP Security Patch Day」として同社製品で発見された脆弱性に関するセキュリティノートをリリースしている。2021年11月のSAP Security Patch Dayでリリースされたセキュリティノートに関する情報は次のページにまとめられている。
リストに挙げられている7件の脆弱性のうち、次の1件は優先度が最も高い「ホットニュース(Hot News)」に分類されている。
- CVE-2021-40501: SAP ABAP Platform Kernelにおける認証チェックの不備
また、次の2件の脆弱性は優先度「高(High)」に分類されている。
- CVE-2021-40502: SAP Commerceにおける認証チェックの不備
- CVE-2020-6369: CA Introscope Enterprise Managerにおける資格情報のハードコーディング(SAP Solution ManagerおよびSAP Focusedが影響を受ける)
-
SAP Security Patch Day – November 2021 - Product Security Response at SAP
