[KISA] SAP 제품 보안 업데이트 권고 2020.12.14

SAP BC/SAP Security 보안|2020. 12. 28. 08:34

지난 2020년 12월 14일에 한국인터넷 진흥원 (KISA) 에서 SAP 제품군에 대한 보안 업데이트 권고 사항이 나와 정리 해 봅니다.

 

주요내용

  1. SAP NetWeaver Application Server(AS) JAVA에서 인증 기능이 미흡하여 발생하는 권한 탈취 취약점(CVE-2020-6287)
  2. SAP BusinessObjects BI 플랫폼(Crystal Report)에서 업로드된 XML 개체에 대한 검증이 미흡하여 임의 XML 개체 삽입을 통해 발생하는 SSRF 취약점(CVE-2020-26831)
  3. SAP Business Warehouse (Master Data Management) 및 SAP BW4HANA에서 발생하는 코드 삽입이 가능한 취약점(CVE-2020-26838)
  4. SAP AS ABAP 및 S/4 HANA(DMIS)에서 발생하는 임의 코드 삽입이 가능한 취약점(CVE-2020-26808)
  5. SAP Solution Manager(User Experience Monitoring)에서 악성 스크립트 업로드로 인해 발생하는 경로 탐색 취약점(CVE-2020-26830, 26837)
  6. SAP NetWeaver AS ABAP 및 SAP S4 HANA(SAP Landscape Transformation)에서 발생하는 정보노출 취약점(CVE-2020-26832)

출처 - KISA 보안공지 SAP 제품 보안 업데이트 권고

 

관련 SAP 상세 문서 (S유저 필요)

  1. CVE-2020-6287 - https://launchpad.support.sap.com/#/notes/2934135
  2. CVE-2020-26831 - https://launchpad.support.sap.com/#/notes/2989075
  3. CVE-2020-26838 - https://launchpad.support.sap.com/#/notes/2983367
  4. CVE-2020-26808 - https://launchpad.support.sap.com/#/notes/2973735
  5. CVE-2020-26830, 26837 - https://launchpad.support.sap.com/#/notes/2983204
  6. CVE-2020-26832 - https://launchpad.support.sap.com/#/notes/2993132

 

영향 받는 SAP 제품

  1. CVE-2020-6287 [위험도 매우높음 | CVSS 10.0] : NetWeaver AS JAVA
  2. CVE-2020-26831 [위험도 매우높음 | CVSS 9.6] : SAP BusinessObjects BI 플랫폼(Crystal Report)
  3. CVE-2020-26838 [위험도 매우높음 | CVSS 9.1] : SAP Business Warehouse (Master Data Management) 
  4. CVE-2020-26808 [위험도 매우높음 | CVSS 9.1] : SAP AS ABAP(DMIS, SAP Landscape Transformation) & SAP S4 HANA(DMIS, SAP Landscape Transformation)
  5. CVE-2020-26830, 26837 [위험도 높음 | CVSS 8.5] : SAP Solution Manager(User Experience Monitoring) - 7.2
  6. CVE-2020-26832 [위험도 높음 | CVSS 7.6] SAP AS ABAP(DMIS, SAP Landscape Transformation) & SAP S4 HANA(DMIS, SAP Landscape Transformation)

 

조치방법

  1. CVE-2020-6287 : SAP Note 2934135 에 적혀있는 버전으로 SAP Java 컴포넌트 패치 (연계성 이슈가 있을 수 있기 때문에 주의 필요) 또는 SAP Note 2939663 에 있는 임시 대응방법 (workaround) 수행
  2. CVE-2020-26831 : SAP Note 2989075 에 적혀있는 버전으로 SAP BI/BO 패치 수행 
  3. CVE-2020-26838 : SAP Note 2983367 에 적혀있는 버전으로 SAP BW 또는 DW4CORE 컴포넌트 패치 또는 SAP Note 2983367 을 SNOTE 로 적용
  4. CVE-2020-26808 : SAP Note 2973735 에 적혀있는 버전으로 SAP DMIS 또는 S4CORE 컴포넌트 패치 또는 SAP Note 2973735 를 SNOTE 로 적용
  5. CVE-2020-26830, 26837 : SAP Note 2983204 에 적혀있는 버전으로 SAP Solman Java 의 LM-SERVICE 패치 수행. SAP Solman 의 사용 기능과 상관 없이 패치 필요.
  6. CVE-2020-26832 SAP Note 2993132 에 적혀있는 버전으로 SAP DMIS 또는 S4CORE 컴포넌트 패치 또는 SAP Note 2993132 를 SNOTE 로 적용

 

 

저작자표시 변경금지

'SAP BC > SAP Security 보안' 카테고리의 다른 글

SAP 제품들의 Log4j 보안 취약성 이슈  (0) 2022.01.01

댓글()

티스토리툴바