United States Computer Emergency Readiness Team (US-CERT)は1月12日(米国時間)、「SAP Releases January 2021 Security Updates|CISA」において、SAPが2021年1月の月例セキュリティパッチをリリースしたと伝えた。このリリースにはコードインジェクションや特権昇格、認証チェックの回避、不正な情報開示、クロスサイトスクリプティングなど、全部で17件のセキュリティ関連の修正が含まれている。これらの脆弱性を放置すると、任意のコードの実行や、システムの制御権の乗っ取り、機密情報の窃取といった被害を受ける危険性がある。
SAPでは毎月第2火曜日に「SAP Security Patch Day」として同社製品で発見された脆弱性に関するセキュリティノートをリリースしている。2021年1月のSAP Security Patch Dayでリリースされたセキュリティノートに関する情報は次のページにまとめられている。
リストに挙げられている17件の脆弱性のうち、次の5件は優先度が最も高い「ホットニュース(Hot News)」に分類されている。
- SAP Business ClientにおけるGoogle Chromiumブラウザのアップデート
- [CVE-2021-21465] SAP Business WarehouseおけるSQLインジェクションの脆弱性
- [CVE-2021-21466] SAP Business WarehouseおよびSAP BW4HANAにおけるコードインジェクションの脆弱性
- [CVE-2020-26838] SAP Business WarehouseおよびSAP BW4HANAにおけるコードインジェクションの脆弱性
- [CVE-2021-21446] SAP NetWeaver AS ABAPにおけるサービス拒否(DoS)脆弱性