SAP 제품 취약점 보안 업데이트 권고
□ 개요
o SAP는 자사 제품의 취약점을 해결한 보안 업데이트 공지 [1]
o 공격자는 취약점을 악용하여 피해를 발생시킬 수 있으므로, 해당 제품을 사용하는 이용자들은 최신 버전으로 업데이트 권고
□ 설명
o SAP Business One에서 파일에 대한 검증이 미흡하여 발생하는 파일 업로드 취약점(CVE-2021-33698) [2]
o SAP NetWeaver Development Infrastructure에서 입력값 검증이 미흡하여 발생하는 SSRF 취약점(CVE-2021-33690) [3]
o SAP DMIS Mobile Plugin 및 S/4HANA에서 입력값 검증이 미흡하여 발생하는 SQL 인젝션 취약점(CVE-2021-33701) [4]
o SAP NetWeaver Enterprise Portal에서 입력값 검증이 미흡하여 발생하는 XSS 취약점(CVE-2021-33702, 33703) [5][6]
o SAP NetWeaver Enterprise Portal에서 입력값 검증이 미흡하여 발생하는 SSRF 취약점(CVE-2021-33705) [7]
o SAP Fiori Client Native Mobile에서 발생하는 권한상승 취약점(CVE-2021-33699) [8]
o SAP Business One에서 인증기능이 미흡하여 발생하는 인증우회 취약점(CVE-2021-33700) [9]
□ 영향받는 제품
o SAP Business One : 10 버전
o SAP NetWeaver Development Infrastructure : 7.11, 7.20, 7.30, 7.31, 7.40, 7.50 버전
o DMIS Mobile Plug-In : 2011_1_620, 2011_1_640, 2011_1_700, 2011_1_710, 2011_1_730, 710, 2011_1_731, 710, 2011_1_752, 2020 버전
o SAP S/4HANA : SAPSCORE 125, S4CORE 102, 102, 103, 104, 105 버전
o SAP NetWeaver Enterprise Portal : 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50 버전
o SAP Fiori Client Native Mobile for Android : 3.2 버전
□ 해결방안
o 제조사 홈페이지를 참고하여 최신버전으로 업데이트
[참고사이트]
[1] https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=580617506
[2] https://launchpad.support.sap.com/#/notes/3071984
[3] https://launchpad.support.sap.com/#/notes/3072955
[4] https://launchpad.support.sap.com/#/notes/3078312
[5] https://launchpad.support.sap.com/#/notes/3073681
[6] https://launchpad.support.sap.com/#/notes/3072920
[7] https://launchpad.support.sap.com/#/notes/3074844
[8] https://launchpad.support.sap.com/#/notes/3067219
[9] https://launchpad.support.sap.com/#/notes/3073325
