米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は1月11日、「SAP Releases January 2022 Security Updates|CISA」において、SAPが2022年1月の月例セキュリティパッチをリリースしたことを伝えた。このリリースには権限/認証チェックの不備や資格情報のハードコーディング、情報開示などに関する制計9件の脆弱性の修正が含まれている。
SAPでは毎月第2火曜日に「SAP Security Patch Day」として同社製品で発見された脆弱性に関するセキュリティノートをリリースしている。2022年1月のSAP Security Patch Dayでリリースされたセキュリティノートに関する情報は、次のページにまとめられている。
リストに挙げられている9件の脆弱性のうち、次の1件は優先度が最も高い「ホットニュース(Hot News)」に分類されている。
- CVE-2021-44228: Apache Log4j 2におけるリモートコード実行の脆弱性
また、次の2件の脆弱性は優先度「高(High)」に分類されている。
- CVE-2022-22531: SAP S/4HANAのF0743アプリケーションにおける複数の脆弱性
- CVE-2021-44235: SAP NetWeaver AS ABAPのユーティリティクラスにおけるコードインジェクションの脆弱性
Apache Log4j 2は、Javaアプリケーション向けのオープンソースのロギングライブラリである。2021年12月に、このLog4j 2について、リモートコード実行およびサービス運用妨害(DoS)の脆弱性が公表された。通称「Log4Shell」とも呼ばれているこの脆弱性は攻撃への利用が容易であり、極めて影響範囲が大きいことから、Log4j 2を利用しているアプリケーションやフレームワークでは早急な対処が必要とされている。SAPの製品でもLog4j 2を利用しているアプリケーションは多いため、注意が必要だ。