|
SAP는 Business Client, Commerce 및 NetWeaver의 중요 버그 침해사고분석팀 2021.04.15 |
|||||||||||||||||||||||||
|
이번 달 SAP의 보안 업데이트는 여러 가지 주요 취약점을 해결한다. 그 중 가장 심각도가 높은 등급은 회사의 비즈니스 클라이언트 제품에 영향을 미친다.
회사의 다른 두 제품은 구성 개체에 대한 무단 액세스를 제공하고 원격 코드를 실행할 수 있는 심각한 심각도 결함에 대한 패치를 받았다.
심각한 위험 점수
SAP 제품 보안팀은 회사 제품에서 발견되고 수정된 취약점에 대한 정보를 공유했다. 총 19개의 보안 정보가 있으며, 이 중 5개는 이전 버그에 대한 업데이트이다.
이러한 업데이트 중 하나는 다양한 SAP 비즈니스 애플리케이션의 진입점 역할을 하는 사용자 인터페이스인 SAP Business Client에 영향을 주는 취약점을 나타낸다.
보안 위험은 제품 자체가 아니라 제품과 함께 제공되는 브라우저 제어(Chromium)에 있다. 최대 심각도 점수(10점 만점)로 평가된 것을 제외하고는 취약점에 대한 세부 정보가 없다.
[그림1. Chromium 취약점 점수]
NIST가 여전히 검토 중
SAP는 또한 여러 통신 채널에 배포할 제품 정보를 구성하는 데 사용되는 SAP Commerce의 원격 코드 실행 버그를 수정하는 업데이트를 제공했다.
이 문제는 CVE-2021-27602로 식별되며 SAP Commerce 1808, 1811, 1905, 2005 및 2011에 영향을 미친다. SAP는 심각도를 10점 만점에 9.8점으로 평가하여 이 취약점도 심각하다고 평가됐다.
그러나 국가표준기술원(NIST)은 아직 해당 취약점을 분석하고 있어 심각도 점수가 이보다 낮을 수 있다.
SAP Commerce의 Backoffice Product Content Management 애플리케이션에 권한이 부여된 공격자는 이를 악용하여 소스 규칙에 악의적인 코드를 주입하여 시스템에서 원격 코드를 실행할 수 있다.
SAP에서 중요하게 보는 또 다른 업데이트는 NetWeaver 소프트웨어 스택의 마이그레이션 서비스 구성 요소(버전 7.10, 7.11, 7.31, 7.31, 7.40, 7.50)를 통해 조직이 여러 소스의 데이터와 비즈니스 프로세스를 통합할 수 있도록 한다.
해당 취약성은 CVE-2021-21481로 추적되고 SAP에서는 심각도 점수가 10점 만점에 9.6점으로 평가됐다. 그러나 NIST에서는 기본 점수가 8.8로 제공되므로 심각도가 높은 취약점이다.
업데이트에서 해결된 문제는 마이그레이션 서비스가 권한 검사를 수행하지 않았다는 것이다. 권한이 없는 공격자는 구성 개체에 액세스하여 시스템에 대한 관리 권한을 얻을 수 있다.
보안 패치 날에 SAP가 제공한 기타 수정 사항에는 심각도가 높은 것으로 평가된 취약점이 포함된다.
이번 주에 출시된 SAP의 추가 패치는 중간 심각도 취약점을 위한 것이다. 이 회사는 동일한 제품에 영향을 미치는 여러 버그를 하나의 보안 패치로 해결할 수 있다고 말한다.
출처 |
|||||||||||||||||||||||||
