Haavoittuvuus3/2022CVSS 10
SAP:n ICM-komponentissa on erittäin kriittinen haavoittuvuus, joka tulisi päivittää välittömästi.
Helmikuun toisena tiistaina eli päivitystiistaina (Patch Tuesday) julkaistiin useita haavoittuvuuksien korjauspäivityksiä.
Joukossa oli useita erittäin kriittisiä päivityksiä, jotka tulisi asentaa niin pian kuin mahdollista. SAP julkaisi päivityksen SAP Internet Communication Manager (ICM)-komponentin haavoittuvuuteen CVE-2022-22536. Haavoittuvuuden hyväksikäyttö on SAP:n oman tiedotteen mukaan erittäin yksinkertaista.
Sovelluksissa oleva ICM-komponentti on haavoittuva erilaisille pyyntöjen ketjutushyökkäyksille (request smuggling, request concatenation). ICM-komponentti on käytössä lähes kaikissa SAP-tuotteissa, jotka käyttävät internet-yhteyttä.
SAP on kehottanut asiakkaitaan päivittämään tuotteensa välittömästi.
Kohde
- Palvelimet ja palvelinsovellukset
Hyökkäystapa
- Etäkäyttö
- Ilman käyttäjän toimia
- Ilman kirjautumista
Vaikutukset
- Komentojen mielivaltainen suorittaminen
- Luottamuksellisen tiedon hankkiminen
Hyväksikäyttömenetelmä tiedossa
- Ei julkaistu
Ratkaisu
- Korjaava ohjelmistopäivitys
Haavoittuvuuden kohde
SAP Web Dispatcher, versiot - 7.49, 7.53, 7.77, 7.81, 7.85, 7.22EXT, 7.86, 7.87
SAP Content Server, versiot - 7.53
SAP NetWeaver ja ABAP Platform, versiot - KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT, 7.49