강좌
클라우드/리눅스에 관한 강좌입니다.
해킹&보안 분류

SAP 제품 취약점 보안 업데이트 권고

작성자 정보

  • 관리자 작성
  • 작성일

컨텐츠 정보

본문

□ 개요
 o SAP社는 자사 제품의 취약점을 해결한 보안 업데이트 공지 [1]
 o 공격자는 취약점을 악용하여 피해를 발생시킬 수 있으므로, 해당 제품을 사용하는 이용자들은 최신 버전으로 업데이트 권고

□ 설명
 o SAP NetWeaver, ABAP Platform의 SAProuter에서 발생하는 부적절한 접근 제어 취약점 (CVE-2022-27668)
 o SAP PowerDesigner Proxy에서 발생하는 권한 상승 취약점 (CVE-2022-31590)
 o ABAP, ABAP Platform의 SAP NetWeaver Application Server에서 발생하는 인증 확인 누락 취약점 (CVE-2022-29611)
 o SAP NetWeaver Development Infrastructure에서 발생하는 크로스 사이트 스크립팅(XSS) 취약점 (CVE-2022-29618)
 o SAP NetWeaver, ABAP Platform, SAP Host Agent에서 발생하는 SSRF (Server-Side Request Forgery) 취약점 (CVE-2022-29612)
 o SHAAM 프로그램에서 발생하는 부적절한 권한 부여 취약점 (CVE-2022-31589)
 o SAP Financial Consolidation에서 발생하는 권한 상승 취약점 (CVE-2022-31595)
 o SAP NetWeaver AS ABAP, AS Java, ABAP Platform, HANA Data의 SAP startservice에서 발생하는 권한 상승 취약점 (CVE-2022-29614)
 o SAP Netweaver Developer Studio (NWDS)의 Apache log4j 1.x 구성 요소에서 발생하는 다중 취약점 (CVE-2022-29615)
 o SAP Adaptive Server Enterprise (ASE)에서 발생하는 권한 상승 취약점 (CVE-2022-31594)

□ 영향을 받는 버전 및 제품
CVE-ID영향받는 제품버전
CVE-2022-27668SAP NetWeaver, ABAP PlatformKERNEL 7.49, 7.77, 7.81, 7.85, 7.86, 7.87, 7.88, KRNL64NUC 7.49, KRNL64UC 7.49, SAP_ROUTER 7.53, 7.22
CVE-2022-31590SAP PowerDesigner Proxy16.7
CVE-2022-29611SAP NetWeaver Application Server for ABAP, ABAP Platform700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755, 756, 787, 788
CVE-2022-29618SAP NetWeaver Development Infrastructure (Design Time Repository)7.30, 7.31, 7.40, 7.50
CVE-2022-29612SAP NetWeaver, ABAP Platform, SAP Host AgentKERNEL 7.22, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, 7.88, 8.04, KRNL64NUC 7.22, 7.22EXT, 7.49, KRNL64UC 7.22, 7.22EXT, 7.49, 7.53, 8.04, SAPHOSTAGENT 7.22
CVE-2022-31589SAP ERP, localization for CEE countriesC-CEE 110_600, 110_602, 110_603, 110_604, 110_700
SAP FinancialsSAP_FIN 618, 720
SAP S/4Hana CoreS4CORE 100, 101, 102, 103, 104, 105, 106, 107, 108
CVE-2022-31594
CVE-2022-31595		SAP Adaptive Server Enterprise (ASE)KERNEL 7.22, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT, 7.49, KRNL64UC 7.22, 7.22EXT, 7.49, 7.53
CVE-2022-29614SAP NetWeaver AS ABAP, AS Java, ABAP Platform, HANA DataþaseKERNEL 7.22, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, 7.88, KRNL64NUC 7.22, 7.22EXT, 7.49, KRNL64UC 7.22, 7.22EXT, 7.49, 7.53, SAPHOSTAGENT 7.2
CVE-2022-29615SAP NetWeaver Developer Studio (NWDS)7.50
 
□ 해결방안
 o 제조사 홈페이지를 참고하여 최신버전으로 업데이트

□ 기타 문의사항
 o 한국인터넷진흥원 사이버민원센터: 국번없이 118

[참고사이트]
[1] https://dam.sap.com/mac/app/e/pdf/preview//ucQrx6G?ltr=a&rc=10


□ 작성 : 침해사고분석단 취약점분석팀
"무단배포금지: 클라우드포털(www.linux.co.kr)의 모든 강좌는 저작권에 의해 보호되는 콘텐츠입니다. 무단으로 복제하여 배포하는 행위는 금지되어 있습니다."

관련자료

댓글 0
등록된 댓글이 없습니다.
목록

공지사항

뉴스광장

  • 현재 회원수 :  60,156 명
  • 현재 강좌수 :  36,513 개
  • 현재 접속자 :  293 명