米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は3月8日(米国時間)、「SAP Releases March 2022 Security Updates|CISA」において、SAPの複数の製品に複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、システムの制御権が乗っ取られる危険性があるとされている。

脆弱性に関する情報は次のページにまとまっている。

  • SAP Security Patch Day - March 2022

    SAP Security Patch Day - March 2022

脆弱性が存在するとされるプロダクトは次のとおり。

  • Apache Log4j 2 component
  • Fiori Launchpad
  • Internet of Things Edge Platform
  • SAP 3D Visual Enterprise Viewer
  • SAP Adaptive Server Enterprise
  • SAP Business Client
  • SAP Business Objects Business Intelligence Platform
  • SAP Business Objects Web Intelligence (BI Launchpad)
  • SAP Commerce
  • SAP Content Server
  • SAP Content Server
  • SAP Customer Checkout
  • SAP Data Intelligence
  • SAP Dynamic Authorization Management
  • SAP ERP HCM(Portugal)
  • SAP Financial Consolidation
  • SAP Focused Run
  • SAP Inventory Manager
  • SAP NetWeaver (ABAP and Java application Servers)
  • SAP NetWeaver and ABAP Platform
  • SAP NetWeaver Application Server for ABAP
  • SAP NetWeaver Application Server Java
  • SAP NetWeaver AS JAVA (Portal Basis)
  • SAP NetWeaver Enterprise Portal
  • SAP NetWeaver ASABAP (Workplace Server)
  • SAP Solution Manager (Diagnostics Root Cause Analysis Tools)
  • SAP Web Dispatcher
  • SAP Work Manager
  • SAPCAR
  • SAP-JEE
  • SAP-JEECOR
  • SAPS/4HANA
  • SAPS/4HANA (Supplier Factsheet and Enterprise Search for Business Partner, Supplier and Customer)
  • SERVERCORE
  • Simple Diagnostics Agent

脆弱性のいくつかは深刻度が緊急(Critical)に分類されており注意が必要。CISAは、ユーザおよび管理者に対して上記セキュリティ情報をチェックするとともに、必要に応じてアップデートを適用することを推奨している。