IBM Flashsystem

SAP ปล่อยแพตช์แก้ไขช่องโหว่ร้ายแรงหลายรายการ พร้อมเตือนผู้ใช้เร่งอัปเดต

สำหรับเดือนกุมภาพันธ์นี้ SAP ได้อัปเดตช่องโหว่ใหม่ 13 รายการ พร้อมกับการอัปเดตข้อมูลเก่าและแพตช์เร่งด่วน ซึ่งความน่าสนใจคือมีช่องโหว่ร้ายแรงหลายรายการระดับ 10/10

Credit: Pavel Ignatov/ShutterStock

ช่องโหว่ที่น่าสนใจมีดังนี้

  • ชุดช่องโหว่ ICMAD ที่พบโดย Onapsis ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยของ SAP ทั้งนี้ชื่อมาจากช่องโหว่ใน Internet Communication Manager (ICM) ซึ่งถูกใช้ต่อในแอปพลิชันของ SAP หลายตัวเพื่อการเปิดการเชื่อมต่อ HTTPS และมักเผยช่องทางผ่านอินเทอร์เน็ต โดย ICMAD ประกอบด้วย CVE-2022-22536 เป็นปัญหาที่สามารถทำ HTTP Smuggling กับผลิตภัณฑ์ NetWeaver, Content Server และ Web Dispatch ซึ่งสามารถใช่ควบคู่กับ CVE-2022-22532 เพื่อทำให้การมีอยู่ของ Proxy ไร้ผล ทั้งนี้ Onapsis เตือนว่าช่องโหว่ตรวจจับได้ยากมากและแฮ็กเกอร์สามารถใช้เพื่อ ขโมย Credentials หรือข้อมูลสำคัญได้ อีกด้านหนึ่งที่ยืนยันถึงความร้ายแรงทาง CISA ได้ออกเตือนให้หน่วยงานรัฐอัปเดตแพตช์ ICMAD ให้เร็วที่สุด ทั้งนี้อีกช่องโหว่ใน ICMAD ก็คือ CVE-2022-22533 
  • โน๊ตสำคัญอีกเรื่องก็คือแพตช์ของผลิตภัณฑ์ Apache Log4j ที่ถูกใช้ใน SAP Commerce และ Data intelligence 3 (On-premise)

สำหรับผู้ใช้งาน SAP สามารถติดตามอัปเดตล่าสุดได้ที่ https://wiki.scn.sap.com/wiki/display/PSR/SAP+Security+Patch+Day+-+February+2022

ที่มา : https://www.securityweek.com/sap-customers-warned-about-critical-icmad-vulnerabilities และ https://www.zdnet.com/article/sap-releases-patches-for-icmad-vulnerabilities/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Future Risk & Fraud Forum : แนวโน้มของการทุจริตการเงินและความเสี่ยงสำหรับปี 2025 โดย SAS

อาชญากรรมทางการเงินยังคงสร้างความเสียหายได้อย่างต่อเนื่อง นั่นพิสูจน์ได้ว่าแม้หน่วยงานป้องกันจะออกมาตรการใหม่มากมาย แต่ก็มิอาจยับยั้งกลไกการโกงที่เพิ่มขึ้นอยู่ได้ตลอด เช่นเดียวกันความเสี่ยงก็เป็นปัจจัยที่เพิ่มขึ้นอย่างไม่หยุดยั้งที่ต้องพิจารณาปัจจัยต่างๆรอบด้าน ด้วยเหตุนี้เอง SAS จึงจัดงาน Future Risk & Fraud Forum ที่จะเชิญชวนเหล่าผู้เชี่ยวชาญในแวดวงการเงินและประกันภัยเข้ามาอัปเดตเรื่องราวของเทรนด์ด้านความเสี่ยงและการทุจริตในทุกๆปี โดยทีมงาน TechTalkThai …

ขอเชิญร่วมงานสัมมนา “Adobe x Microsoft: “Ask. Sign. Transform. Digital Work Reimagined” [9 พ.ค. 2568 — 9.00น.]

Metro Systems Corporation และ Microsoft ขอเชิญผู้สนใจทุกท่านเข้าร่วมงานสัมมนาในหัวข้อ “Ask. Sign. Transform. Digital Work Reimagined” เพื่อเปิดมุมมองใหม่เปลี่ยนระบบการทำงานสู่ Paperless สร้าง …