개요
SAP 제품에서 발생하는 취약점을 해결하는 보안 업데이트를 발표하였습니다. 해당하는 제품 사용자는 최신 버전으로 업데이트 하시기 바랍니다.
대상 제품
CVE-2024-47578
- SAP NetWeaver AS for JAVA 버전: ADSSSAP 7.50
CVE-2024-47590
- SAP Web Dispatcher 버전: WEBDISP 7.77, 7.89, 7.93,
- SAP Web Dispatcher 버전: KERNEL 7.77, 7.89, 7.93, 9.12, 9.13
CVE-2024-54198
- SAP NetWeaver Application Server ABAP 버전: KRNL64NUC 7.22, 7.22EXT
- SAP NetWeaver Application Server ABAP 버전: KRNL64UC 7.22, 7.22EXT, 7.53
- SAP NetWeaver Application Server ABAP 버전: KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93
CVE-2024-47586
- SAP NetWeaver Application Server for ABAP and ABAP Platform 버전: KRNL64NUC 7.22, 7.22EXT
- SAP NetWeaver Application Server for ABAP and ABAP Platform 버전: KRNL64UC 7.22, 7.22EXT, 7.53, 8.04
- SAP NetWeaver Application Server for ABAP and ABAP Platform 버전: KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93, 8.04, 9.12, 9.13
CVE-2024-54197
- SAP NetWeaver Administrator 버전: LM-CORE 7.50
해결된 취약점
관리자 권한을 가진 공격자가 조작된 요청을 통해 내부 시스템에 접근하여 파일을 읽거나 수정하거나 시스템을 사용할 수 없게 만들 수 있는 취약점(CVE-2024-47578)
비인증 공격자가 만든 악성 링크를 인증된 사용자가 클릭하면, 웹사이트의 입력 데이터 처리 취약점을 통해 XSS 또는 SSRF 공격이 발생할 수 있는 취약점(CVE-2024-47590)
인증된 공격자가 RFC 요청을 통해 제한된 대상지의 자격 증명을 노출시켜 이를 악용해 원격 서비스를 완전히 위협할 수 있는 취약점(CVE-2024-54198)
비인증 공격자가 조작된 HTTP 요청으로 null 포인터 역참조를 유발해 시스템이 충돌 및 재부팅되며 일시적으로 사용 불가능하게 되는 취약점(CVE-2024-47586)
인증된 공격자가 특수하게 조작된 HTTP 요청을 통해 내부 네트워크의 HTTP 엔드포인트를 열거하여 SSRF 공격을 유발할 수 있는 취약점(CVE-2024-54197)
취약점 패치
최신 업데이트를 통해 취약점 패치가 제공되었습니다. 참고 사이트의 안내에 따라 최신 취약점 패치 버전으로 업데이트 하시기 바랍니다.
CVE-2024-47578
- 참고사이트[2] 참고하여 업데이트
CVE-2024-47590
- 참고사이트[3] 참고하여 업데이트
CVE-2024-54198
- 참고사이트[4] 참고하여 업데이트
CVE-2024-47586
- 참고사이트[5] 참고하여 업데이트
CVE-2024-54197
- 참고사이트[6] 참고하여 업데이트
참고사이트
[1] SAP Security Patch Day – December 2024
https://support.sap.com/en/my-support/knowledge-base/security-notes-news/december-2024.html
[2] sap/3536965
https://me.sap.com/notes/3536965
[3] sap/3520281
https://me.sap.com/notes/3520281
[4] sap/3469791
https://me.sap.com/notes/3469791
[5] sap/3504390
https://me.sap.com/notes/3504390
[6] sap/3542543