개요
SAP 제품에서 발생하는 취약점을 해결하는 보안 업데이트를 발표하였습니다. 해당하는 시스템 사용자는 최신 버전으로 업데이트하시기 바랍니다
대상 제품
CVE-2024-37179
SAP BusinessObjects Business Intelligence Platform
- ENTERPRISE 420
- 430
- 2025
- ENTERPRISECLIENTTOOLS 420
CVE-2024-41730
SAP BusinessObjects Business Intelligence Platform
- ENTERPRISE 430
- 440
CVE-2024-39592
SAP PDCE
- S4CORE 102
- S4CORE 103
- S4COREOP 104
- S4COREOP 105
- S4COREOP 106
- S4COREOP 107
- S4COREOP 108
해결된 취약점
인증된 사용자가 특별히 제작된 요청을 Web Intelligence Reporting Server로 보내 서비스를 호스팅하는 머신에서 모든 파일을 다운로드할 수 있어 애플리케이션의 기밀성에 영향을 미칠 수 있는 취약점(CVE-2024-37179)
Enterprise 인증에서 Single Signed On이 활성화된 경우 권한이 없는 사용자가 REST 엔드포인트를 사용하여 로그온 토큰을 얻을 수 있는 취약점(CVE-2024-41730)
PDCE의 요가 인증된 사용자에 대한 필요한 권한 검사를 수행하지 않아 권한이 상승하는 것을 통해 공격자가 민감한 정보를 읽을 수 있어 애플리케이션의 기밀성에 큰 영향을 미칠 수 있는 취약점(CVE-2024-39592)
취약점 패치
최신 업데이트를 통해 제품별 취약점 패치가 다음과 같이 제공되었습니다. 영향받는 버전을 이용하는 경우 참고 사이트의 안내에 따라 최신 취약점 패치 버전으로 업데이트 하시기 바랍니다.
CVE-2024-37179
- 참고사이트[2] 참고하여 업데이트
CVE-2024-41730
- 참고사이트[4] 참고하여 업데이트
CVE-2024-39592
- 참고사이트[6] 참고하여 업데이트
참고사이트
[1] CVE-2024-37179 Detail
https://nvd.nist.gov/vuln/detail/CVE-2024-37179
[2] sap/notes/3478615
https://me.sap.com/notes/3478615
[3] CVE-2024-41730 Detail
https://nvd.nist.gov/vuln/detail/CVE-2024-41730
[4] sap/notes/3479478
https://me.sap.com/notes/3479478
[5] CVE-2024-39592 Detail
https://nvd.nist.gov/vuln/detail/CVE-2024-39592
[6] sap/notes/3483344