United States Computer Emergency Readiness Team (US-CERT)は11月10日(米国時間)、「SAP Releases November 2020 Security Updates|CISA」において、SAPが2020年11月の月例セキュリティパッチをリリースしたと伝えた。

このリリースには、認証チェックの不具合に関する脆弱性やコードインジェクションの脆弱性、特権昇格の脆弱性など、計15件のセキュリティ関連の修正が含まれている。これらの脆弱性を放置すると、機密情報の盗み出しや任意のコードの実行、システムの制御権の乗っ取りなどといった被害を受ける危険性がある。

SAPでは毎月第2火曜日に「SAP Security Patch Day」として同社製品で発見された脆弱性に関するセキュリティノートをリリースしている。2020年11月のSAP Security Patch Dayでリリースされたセキュリティノートに関する情報は次のページにまとめられている。

  • Cisco IOS XR Software for Cisco ASR 9000 Series Aggregation Services Routers Slow Path Forwarding Denial of Service Vulnerability

    SAP Security Patch Day – November 2020 - Product Security Response at SAP - Community Wiki

リストに挙げられている15件の脆弱性のうち、次の6件は優先度が最も高い「ホットニュース(Hot News)」に分類されている。

  • [CVE-2020-26821, CVE-2020-26822, CVE-2020-26823, CVE-2020-26824] SAP Solution Manager (JAVA stack)における不十分な認証チェック
  • [CVE-2020-6207] SAP Solution Manager (User Experience Monitoring)における不十分な認証チェック
  • [CVE-2019-0230, CVE-2019-0233] SAP Data Servicesにおける複数の脆弱性
  • [CVE-2020-26808] SAP AS ABAPおよびSAP S4 HANA(DMIS)におけるコードインジェクションの脆弱性
  • [CVE-2020-26820] SAP NetWeaver AS JAVAにおける特権昇格の脆弱性
  • [CVE-2020-6284] SAP NetWeaver (Knowledge Management)におけるクロスサイトスクリプティング(XSS)脆弱性