[IT 알아보기]/보안 이슈

[보안 이슈] SAP 제품 취약점 보안 업데이트 권고

이호스트ICT 2022. 7. 15. 09:30

 

□ 개요
 o SAP
社는 자사 제품의 취약점을 해결한 보안 업데이트 공지 [1]
 o
공격자는 취약점을 악용하여 피해를 발생시킬 수 있으므로, 해당 제품을 사용하는 이용자들은 최신 버전으로 업데이트 권고

□ 설명
 o SAP BusinessObjects Business Intelligence Platform
에서 발생하는 정보 공개 취약점 (CVE-2022-35228) 2
 o SAP Business One (License service API
포함)에서 발생하는 코드 삽입 취약점 (CVE-2022-31593) 4
 o SAP S/4HANA
에서 발생하는 정보 공개 취약점 (CVE-2022-22542) 3
 o ABAP, ABAP Platform
SAP NetWeaver Application Server에서 발생하는 인증 누락 취약점 (CVE-2022-29611)
 o SAP NetWeaver Enterprise Portal
에서 발생하는 XSS 취약점 (CVE-2022-35172) 4
 o SAP Enterprise Portal
에서 발생하는 XSS 취약점 (CVE-2022-35224)
 o SAP NetWeaver Enterprise Portal (WPC)
에서 발생하는 XSS 취약점 (CVE-2022-35227)
 o SAP BusinessObjects Business Intelligence Platform (LCM)
에서 발생하는 정보 공개 취약점 (CVE-2022-35169)
 o SAP BusinessObjects (BW Publisher Service)
에서 발생하는 권한 상승 취약점 (CVE-2022-31591)
 o SAP BusinessObjects Business Intelligence Platform (Visual Difference Application)
에서 발생하는 SQL Injection 취약점 (CVE-2022-32246)
 o SAP Business Objects
에서 발생하는 XSS 취약점 (CVE-2022-31598)
 o SAP Enterprise Extension Defense Forces & Public Security (EA-DFPS)
에서 발생하는 인증 누락 취약점 (CVE-2022-31592)
 o SAP 3D Visual Enterprise Viewer
에서 발생하는 부적절한 입력 검증 취약점 (CVE-2022-35171)
 o SAP Adaptive Server Enterprise (ASE)
에서 발생하는 권한 상승 취약점 (CVE-2022-31594)

□ 영향을 받는 버전 및 제품

CVE-ID 영향받는 제품 버전
CVE-2022-35228
CVE-2022-29619
SAP BusinessObjects Business Intelligence Platform (Central management console), 4.x 420, 430
CVE-2022-32249
CVE-2022-31593
CVE-2022-35168
SAP Business One 10.0
CVE-2022-28771 SAP Business One License serviceAPI
CVE-2022-22542 SAP S/4HANA 104, 105, 106
CVE-2022-31597 S4CORE 101, 102, 103, 104, 105, 106, SAPSCORE 127
CVE-2022-32248 101, 102, 103, 104, 105, 106
CVE-2022-29611 SAP NetWeaver Application Server for ABAP, ABAP Platform 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755, 756, 787, 788
CVE-2022-35172
CVE-2022-35170
CVE-2021-35225
CVE-2022-32247
SAP NetWeaver Enterprise Portal 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50
CVE-2022-35224 SAP Enterprise Portal
CVE-2022-35227 SAP NetWeaver Enterprise Portal (WPC) 7.30, 7.31, 7.40, 7.50
CVE-2022-35169 SAP BusinessObjects Business Intelligence Platform (LCM) 420, 430
CVE-2022-31591 SAP BusinessObjects (BW Publisher Service)
CVE-2022-31598 SAP BusinessObjects 420
CVE-2022-31592 SAP Enterprise Extension Defense Forces & Public Security (EA-DFPS) 605, 606, 616, 617, 618, 802, 803, 804, 805, 806
CVE-2022-35171 SAP 3D Visual Enterprise Viewer 9.0
CVE-2022-31594 SAP Adaptive Server Enterprise (ASE) KERNEL 7.22, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT, 7.49, KRNL64UC 7.22, 7.22EXT, 7.49, 7.53

 
□ 해결방안
 o
제조사 홈페이지를 참고하여 최신버전으로 업데이트

□ 기타 문의사항
 o
한국인터넷진흥원 사이버민원센터: 국번없이 118

[
참고사이트]
[1] 
https://dam.sap.com/mac/app/e/pdf/preview//ucQrx6G?ltr=a&rc=10


□ 작성 : 침해사고분석단 취약점분석팀