□ 개요
o SAP社는 자사 제품의 취약점을 해결한 보안 업데이트 공지 [1]
o 공격자는 취약점을 악용하여 피해를 발생시킬 수 있으므로, 해당 제품을 사용하는
이용자들은 최신 버전으로 업데이트 권고
□ 설명
o SAP BusinessObjects Business Intelligence Platform에서 발생하는 정보 공개 취약점 (CVE-2022-35228) 등 2개
o SAP Business One (License service API 포함)에서
발생하는 코드 삽입 취약점 (CVE-2022-31593) 등 4개
o SAP S/4HANA에서 발생하는 정보 공개 취약점 (CVE-2022-22542) 등 3개
o ABAP, ABAP Platform의 SAP NetWeaver Application
Server에서 발생하는 인증 누락 취약점 (CVE-2022-29611)
o SAP NetWeaver Enterprise Portal에서 발생하는 XSS 취약점 (CVE-2022-35172) 등 4개
o SAP Enterprise Portal에서 발생하는 XSS 취약점 (CVE-2022-35224)
o SAP NetWeaver Enterprise Portal (WPC)에서 발생하는
XSS 취약점 (CVE-2022-35227)
o SAP BusinessObjects Business Intelligence Platform (LCM)에서 발생하는 정보
공개 취약점 (CVE-2022-35169)
o SAP BusinessObjects (BW Publisher Service)에서 발생하는 권한 상승 취약점 (CVE-2022-31591)
o SAP BusinessObjects Business Intelligence Platform (Visual Difference
Application)에서 발생하는 SQL Injection 취약점 (CVE-2022-32246)
o SAP Business Objects에서 발생하는 XSS 취약점 (CVE-2022-31598)
o SAP Enterprise Extension Defense Forces & Public Security (EA-DFPS)에서
발생하는 인증 누락 취약점 (CVE-2022-31592)
o SAP 3D Visual Enterprise Viewer에서 발생하는 부적절한 입력 검증 취약점 (CVE-2022-35171)
o SAP Adaptive Server Enterprise (ASE)에서 발생하는 권한 상승 취약점 (CVE-2022-31594)
□ 영향을 받는 버전 및 제품
CVE-ID
|
영향받는 제품
|
버전
|
CVE-2022-35228
CVE-2022-29619
|
SAP BusinessObjects Business Intelligence
Platform (Central management console), 4.x
|
420, 430
|
CVE-2022-32249
CVE-2022-31593
CVE-2022-35168
|
SAP Business One
|
10.0
|
CVE-2022-28771
|
SAP Business One License serviceAPI
|
CVE-2022-22542
|
SAP S/4HANA
|
104, 105, 106
|
CVE-2022-31597
|
S4CORE 101, 102, 103, 104, 105, 106,
SAPSCORE 127
|
CVE-2022-32248
|
101, 102, 103, 104, 105, 106
|
CVE-2022-29611
|
SAP NetWeaver Application Server for
ABAP, ABAP Platform
|
700, 701, 702, 710, 711, 730, 731, 740,
750, 751, 752, 753, 754, 755, 756, 787, 788
|
CVE-2022-35172
CVE-2022-35170
CVE-2021-35225
CVE-2022-32247
|
SAP NetWeaver Enterprise Portal
|
7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50
|
CVE-2022-35224
|
SAP Enterprise Portal
|
CVE-2022-35227
|
SAP NetWeaver Enterprise Portal (WPC)
|
7.30, 7.31, 7.40, 7.50
|
CVE-2022-35169
|
SAP BusinessObjects Business Intelligence
Platform (LCM)
|
420, 430
|
CVE-2022-31591
|
SAP BusinessObjects (BW Publisher
Service)
|
CVE-2022-31598
|
SAP BusinessObjects
|
420
|
CVE-2022-31592
|
SAP Enterprise Extension Defense Forces
& Public Security (EA-DFPS)
|
605, 606, 616, 617, 618, 802, 803, 804,
805, 806
|
CVE-2022-35171
|
SAP 3D Visual Enterprise Viewer
|
9.0
|
CVE-2022-31594
|
SAP Adaptive Server Enterprise (ASE)
|
KERNEL 7.22, 7.49, 7.53, KRNL64NUC 7.22,
7.22EXT, 7.49, KRNL64UC 7.22, 7.22EXT, 7.49, 7.53
|
□ 해결방안
o 제조사 홈페이지를 참고하여 최신버전으로 업데이트
□ 기타 문의사항
o 한국인터넷진흥원 사이버민원센터: 국번없이
118
[참고사이트]
[1] https://dam.sap.com/mac/app/e/pdf/preview//ucQrx6G?ltr=a&rc=10
□ 작성 : 침해사고분석단 취약점분석팀
|