SAP ปล่อยแพตช์แก้ไขช่องโหว่ร้ายแรงหลายรายการ พร้อมเตือนผู้ใช้เร่งอัปเดต

สำหรับเดือนกุมภาพันธ์นี้ SAP ได้อัปเดตช่องโหว่ใหม่ 13 รายการ พร้อมกับการอัปเดตข้อมูลเก่าและแพตช์เร่งด่วน ซึ่งความน่าสนใจคือมีช่องโหว่ร้ายแรงหลายรายการระดับ 10/10

Credit: Pavel Ignatov/ShutterStock

ช่องโหว่ที่น่าสนใจมีดังนี้

  • ชุดช่องโหว่ ICMAD ที่พบโดย Onapsis ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยของ SAP ทั้งนี้ชื่อมาจากช่องโหว่ใน Internet Communication Manager (ICM) ซึ่งถูกใช้ต่อในแอปพลิชันของ SAP หลายตัวเพื่อการเปิดการเชื่อมต่อ HTTPS และมักเผยช่องทางผ่านอินเทอร์เน็ต โดย ICMAD ประกอบด้วย CVE-2022-22536 เป็นปัญหาที่สามารถทำ HTTP Smuggling กับผลิตภัณฑ์ NetWeaver, Content Server และ Web Dispatch ซึ่งสามารถใช่ควบคู่กับ CVE-2022-22532 เพื่อทำให้การมีอยู่ของ Proxy ไร้ผล ทั้งนี้ Onapsis เตือนว่าช่องโหว่ตรวจจับได้ยากมากและแฮ็กเกอร์สามารถใช้เพื่อ ขโมย Credentials หรือข้อมูลสำคัญได้ อีกด้านหนึ่งที่ยืนยันถึงความร้ายแรงทาง CISA ได้ออกเตือนให้หน่วยงานรัฐอัปเดตแพตช์ ICMAD ให้เร็วที่สุด ทั้งนี้อีกช่องโหว่ใน ICMAD ก็คือ CVE-2022-22533 
  • โน๊ตสำคัญอีกเรื่องก็คือแพตช์ของผลิตภัณฑ์ Apache Log4j ที่ถูกใช้ใน SAP Commerce และ Data intelligence 3 (On-premise)

สำหรับผู้ใช้งาน SAP สามารถติดตามอัปเดตล่าสุดได้ที่ https://wiki.scn.sap.com/wiki/display/PSR/SAP+Security+Patch+Day+-+February+2022

ที่มา : https://www.securityweek.com/sap-customers-warned-about-critical-icmad-vulnerabilities และ https://www.zdnet.com/article/sap-releases-patches-for-icmad-vulnerabilities/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[Guest Post] บทบาทของ Digital CFO เพื่อก้าวข้ามกระแสพลวัตโลก

“บทบาทของ Digital CFO เพื่อก้าวข้ามกระแสพลวัตโลก” How Digital Transformation Enables CFOs to Achieve Organizational Agility and Resilience …

นักวิจัยสาธิตการแฮ็กเซิร์ฟเวอร์ Oracle เพื่อแสดงให้เห็นถึงช่องโหว่ที่ร้ายแรง

สืบเนื่องมาจากความล่าช้าในการแก้ไขข้อพร่องพกนานถึง 6 เดือน กับช่องโหว่ที่นักวิจัยเรียกว่า “mega 0-day” ช่องโหว่นี้สามารถถูกใช้ได้จากทางไกลโดยไม่ต้องผ่านการพิสูจน์ตัวตน ถูกค้นพบโดย Jang และ Peterjson นักวิจัยด้านความปลอดภัย พวกเขาตั้งชื่อมันว่า The Miracle …