SAP 운영자 ST03

[KISA] SAP 제품 보안 업데이트 권고 2020.12.14

지난 2020년 12월 14일에 한국인터넷 진흥원 (KISA) 에서 SAP 제품군에 대한 보안 업데이트 권고 사항이 나와 정리 해 봅니다.

SAP NetWeaver Application Server(AS) JAVA에서 인증 기능이 미흡하여 발생하는 권한 탈취 취약점(CVE-2020-6287)
SAP BusinessObjects BI 플랫폼(Crystal Report)에서 업로드된 XML 개체에 대한 검증이 미흡하여 임의 XML 개체 삽입을 통해 발생하는 SSRF 취약점(CVE-2020-26831)
SAP Business Warehouse (Master Data Management) 및 SAP BW4HANA에서 발생하는 코드 삽입이 가능한 취약점(CVE-2020-26838)
SAP AS ABAP 및 S/4 HANA(DMIS)에서 발생하는 임의 코드 삽입이 가능한 취약점(CVE-2020-26808)
SAP Solution Manager(User Experience Monitoring)에서 악성 스크립트 업로드로 인해 발생하는 경로 탐색 취약점(CVE-2020-26830, 26837)
SAP NetWeaver AS ABAP 및 SAP S4 HANA(SAP Landscape Transformation)에서 발생하는 정보노출 취약점(CVE-2020-26832)

CVE-2020-6287 [위험도 매우높음 | CVSS 10.0] : NetWeaver AS JAVA
CVE-2020-26831 [위험도 매우높음 | CVSS 9.6] : SAP BusinessObjects BI 플랫폼(Crystal Report)
CVE-2020-26838 [위험도 매우높음 | CVSS 9.1] : SAP Business Warehouse (Master Data Management)
CVE-2020-26808 [위험도 매우높음 | CVSS 9.1] : SAP AS ABAP(DMIS, SAP Landscape Transformation) & SAP S4 HANA(DMIS, SAP Landscape Transformation)
CVE-2020-26830, 26837 [위험도 높음 | CVSS 8.5] : SAP Solution Manager(User Experience Monitoring) - 7.2
CVE-2020-26832 [위험도 높음 | CVSS 7.6] : SAP AS ABAP(DMIS, SAP Landscape Transformation) & SAP S4 HANA(DMIS, SAP Landscape Transformation)

CVE-2020-6287 : SAP Note 2934135 에 적혀있는 버전으로 SAP Java 컴포넌트 패치 (연계성 이슈가 있을 수 있기 때문에 주의 필요) 또는 SAP Note 2939663 에 있는 임시 대응방법 (workaround) 수행
CVE-2020-26831 : SAP Note 2989075 에 적혀있는 버전으로 SAP BI/BO 패치 수행
CVE-2020-26838 : SAP Note 2983367 에 적혀있는 버전으로 SAP BW 또는 DW4CORE 컴포넌트 패치 또는 SAP Note 2983367 을 SNOTE 로 적용
CVE-2020-26808 : SAP Note 2973735 에 적혀있는 버전으로 SAP DMIS 또는 S4CORE 컴포넌트 패치 또는 SAP Note 2973735 를 SNOTE 로 적용
CVE-2020-26830, 26837 : SAP Note 2983204 에 적혀있는 버전으로 SAP Solman Java 의 LM-SERVICE 패치 수행. SAP Solman 의 사용 기능과 상관 없이 패치 필요.
CVE-2020-26832 : SAP Note 2993132 에 적혀있는 버전으로 SAP DMIS 또는 S4CORE 컴포넌트 패치 또는 SAP Note 2993132 를 SNOTE 로 적용

SAP 제품들의 Log4j 보안 취약성 이슈 (0)	2022.01.01