º¸¾È´º½º â°£ 17ÁÖ³âÀ» ÃàÇÏÇÕ´Ï´Ù!!

Home > Àüü±â»ç

À̹ø ´Þ Ãë¾àÁ¡ ÆÐÄ¡ ¹ßÇ¥ÇÑ SAP, CVE ³Ñ¹ö¸µ ±ÇÇÑ ¾ò¾ú´Ù

ÀÔ·Â : 2017-12-13 13:39
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
CVE ¹øÈ£ ºÎ¿© ±â°ü µÊ¿¡ µû¶ó ÆÐÄ¡ ¼Òºñ ÁÖ±â ÁÙÀÏ ¼ö ÀÖ°Ô µÅ
Áö³­ ´Þ ÆÐÄ¡ ³ëÆ®¿¡ ¾ð±ÞµÈ °Í±îÁö ÃÑ 19°³ º¸¾È ³ëÆ® ¹ßÇ¥


[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ¼ÒÇÁÆ®¿þ¾î ¾÷ü SAP°¡ À̹ø ÁÖ 11°³ Ãë¾àÁ¡À» ÇØ°áÇÏ´Â º¸¾È ÆÐÄ¡¸¦ ¹ßÇ¥Çß´Ù. ±×·±µ¥ 12¿ùÀÇ º¸¾È ÆÐÄ¡´Â ¿©Å±îÁöÀÇ ±×°Í°ú »ç¹µ ´Ù¸£´Ù. Ãë¾àÁ¡µé¿¡ CVE¶ó´Â À̸§Ç¥°¡ ºÙ¾ú±â ¶§¹®ÀÌ´Ù. ÀÌ´Â °ð SAP°¡ CVE Ãë¾àÁ¡ ¹øÈ£¸¦ ºÎ¿©ÇÒ ±ÇÇÑÀÌ ÁÖ¾îÁ³´Ù´Â °ÍÀÌ´Ù. ÀÌ·¯ÇÑ ±Ç¸®³ª ´Üü¸¦ CNA(CVE Numbering Authority)¶ó°í ºÎ¸¥´Ù.

[À̹ÌÁö = iclickart]


SAP´Â ¿¹ÀüºÎÅÍ CNA°¡ µÇ°í ½Í¾î Çß´Ù. ÀÚ»ç Á¦Ç°¿¡¼­ ¹ß°ßµÈ Ãë¾àÁ¡À» Åõ¸íÇÏ°í ºü¸£°Ô °ø°³ÇØ »ç¿ëÀÚµéÀÌ ÆÐÄ¡¸¦ ÃÖ´ëÇÑ »¡¸® Àû¿ëÇÒ ¼ö ÀÖ°Ô ¸¸µé±â À§Çؼ­´Ù. Áï ÆÐÄ¡ ¼Òºñ Áֱ⸦ ¹Ù¦ Á¶À̱â À§Çؼ­¶óµµ CNA°¡ µÉ ÇÊ¿ä°¡ ÀÖ´Ù°í ´À²¸¿Ô¾ú´Ù.

ÇÑÆí À̹ø¿¡ °ø°³µÈ Ãë¾àÁ¡ 11°¡Áö Áß ÇÑ °³´Â ±× À§Çèµµ°¡ ¸Å¿ì ³ô¾Æ CVSS Á¡¼ö 9.1Á¡À» ±â·ÏÇß´Ù. OS ¸í·É ÁÖÀÔ Ãë¾àÁ¡À¸·Î SAP ³ÝÀ§¹ö µµÅ¥¸àÅ×ÀÌ¼Ç ¾Ø Æ®·£½½·¹À̼Ç(SAP Netweaver Documentation and Translation) Åøµé¿¡¼­ ¹ß°ßµÆ´Ù. »ç½Ç ÀÌ´Â ÀÛ³â À̸¾ ¶§ ÇÑ ¹ø ¹ßÇ¥µÈ ÆÐÄ¡¿´À¸³ª, ¹®Á¦¸¦ ¿ÏÀüÈ÷ ÇØ°áÇÏÁö ¸øÇ߱⿡ À̹ø¿¡ ´Ù½Ã ¹èÆ÷µÇ±â ½ÃÀÛÇÑ °ÍÀÌ´Ù. ¶ÇÇÑ ÆÐÄ¡ÀÇ ¿Ïº®ÇÑ Àû¿ëÀ» À§ÇÑ »ç¿ëÀÚ °¡À̵嵵 PDF ÆÄÀÏ·Î °°ÀÌ ¹èÆ÷ Áß¿¡ ÀÖ´Ù.

À̸¦ ¸ÕÀú ½ÃÇè Àû¿ëÇغ» ¿À³À½Ã½º(Onapsis)´Â ¡°°¡À̵忡 ³ª¿Â ±×´ë·Î ÆÐÄ¡¸¦ Àû¿ëÇÏ¸é ¾Æ¹«·± ¹®Á¦°¡ ¹ß»ýÇÏÁö ¾Ê´Â´Ù¡±°í ¹ßÇ¥Çß´Ù. ´Ù½Ã ÇÑ ¹ø °°Àº ¹®Á¦·Î ÆÐÄ¡°¡ Àç¹èÆ÷ µÇ´Â °æ¿ì´Â ¾øÀ» °ÍÀ̶ó°í ¿¹ÃøÇϱ⵵ ÇßÀ¸¸ç, ÀÛ³âÀÇ ¿ø ÆÐÄ¡¸¦ Àû¿ëÇÑ ¾÷üµéÀ̶ó¸é ´õ´õ¿í °¡À̵带 ÂüÁ¶ÇØ¾ß ÇÒ °ÍÀ̶ó°í ¸»Çß´Ù.

°íÀ§Ç豺 Ãë¾àÁ¡ ÇÑ °³ ¿Ü¿¡µµ À̹ø ÆÐÄ¡¸¦ ÅëÇØ ¡®À§Ç豺¡¯¿¡ ¼ÓÇÏ´Â Ãë¾àÁ¡ ¼¼ °³µµ °ø°³µÇ°í ¼öÁ¤µÆ´Ù. ÇÑ °³´Â Trusted RFC¿¡ ÀÖ´Â Ãß°¡ ÀÎÁõ(Additional Authentication) È®ÀÎ ±â´É¿¡¼­ ¹ß°ßµÈ CVE-2017-16689À̸ç, µÎ ¹ø° °ÍÀº SAP BI Promotion Management ApplicationÀÇ ºÎÀç ÀÎÁõ(Missing Authentication) È®ÀÎ ±â´É¿¡¼­ ¹ß°ßµÈ CVE-2017-16684ÀÌ°í, ¸¶Áö¸·Àº ¾ÆÆÄÄ¡ ½ºÆ®·¯Ã÷(Apache Struts) 1.x ¹öÀü¿¡¼­ ¹ß°ßµÈ CVE-2014-0095ÀÌ´Ù.

³ª¸ÓÁö´Â Áß°£±Þ À§Çèµµ¸¦ °¡Áø Ãë¾àÁ¡µé·Î, XSS Ãë¾àÁ¡ÀÎ CVE-2017-16685, SSRF Ãë¾àÁ¡ÀÎ CVE-2017-16678, DoS Ãë¾àÁ¡ÀÎ CVE-2017-16683 µîÀÌ´Ù. SAPÀº 11°³ Ãë¾àÁ¡°ú ÇÔ²² ³× °³ÀÇ Ãß°¡ ¾÷µ¥ÀÌÆ®¿Í ³× °³ÀÇ Áö¿ø ÆÐÅ°Áöµµ ¹ßÇ¥ÇØ ÃÑ 19°³ÀÇ º¸¾È ÁÖÀÇ»çÇ×À» ¹ßÇ¥Çß´Ù.

ÀÌ 19°³ÀÇ º¸¾È ÁÖÀÇ»çÇ×À» Ãë¾àÁ¡µéÀ» À¯Çüº°·Î Áý°èÇغ¸¸é ±¸Ãà °ü·Ã ¿À·ù(implementation flaw)°¡ 5°³·Î °¡Àå ¸¹¾Ò´Ù. ±× ´ÙÀ½Àº XSS Ãë¾àÁ¡ÀÌ 2°³, Á¤º¸ ³ëÃâ Ãë¾àÁ¡ÀÌ 2°³, ºÎÀç ÀÎÁõ Ãë¾àÁ¡ÀÌ 2°³, DoS Ãë¾àÁ¡ÀÌ 2°³, OS ¸í·É ½ÇÇà Ãë¾àÁ¡ÀÌ 2°³·Î µ¿·üÀ» ±â·ÏÇß´Ù. ÀÌ ¿Ü¿¡ ¿ø°Ý ¸í·É ½ÇÇà Ãë¾àÁ¡ÀÌ 1°³, ¿ÀÇ ¸®´ÙÀÌ·ºÆ® Ãë¾àÁ¡ÀÌ 1°³, SSRF°¡ 1°³, ·Î±× ÁÖÀÔ Ãë¾àÁ¡ÀÌ 1°³¾¿ ´Ù·ïÁö±âµµ Çß´Ù.

ÀÌÁß ·Î±× ÁÖÀÔ Ãë¾àÁ¡ÀÎ CVE-2017-16687Àº SAP HANA XS Ŭ·¡½Ä »ç¿ëÀڵ鿡°Ô ¿µÇâÀ» ÁÙ ¼ö ÀÖ´Â °ÍÀ¸·Î, °ø°ÝÀÚµéÀÌ ÀÓÀÇÀÇ µ¥ÀÌÅ͸¦ °¨»ç ·Î±×¿¡ ÁÖÀÔÇÒ ¼ö ÀÖ°Ô ÇØÁØ´Ù. À̸¦ ¾Ç¿ëÇÏ¸é °¨»ç ·Î±× ºÐ¼®À» Å©°Ô ¹æÇØÇÒ ¼ö ÀÖ°Ô µÈ´Ù.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
 ÇÏÀÌÁ¨ ÆÄ¿öºñÁî 23³â 11¿ù 16ÀÏ~2024³â 11¿ù 15ÀϱîÁö ¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ À§Áîµð¿£¿¡½º 2018 ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö
¼³¹®Á¶»ç
<º¸¾È´º½º>ÀÇ º¸¾ÈÀü¹® ±âÀÚµéÀÌ ¼±Á¤ÇÑ 2024³â ÁÖ¿ä º¸¾È Å°¿öµå °¡¿îµ¥ °¡Àå Æı޷ÂÀÌ Å¬ °ÍÀ¸·Î º¸´Â À̽´´Â?
Á¡Á¡ ´õ Áö´ÉÈ­µÇ´Â AI º¸¾È À§Çù
¼±°ÅÀÇ ÇØ ¸ÂÀº ÇÙƼºñÁò °ø°Ý
´õ¿í °­·ÂÇØÁø ·£¼¶¿þ¾î »ýÅ°è
Á¡Á¡ ´õ ´Ù¾çÇØÁö´Â ½ÅÁ¾ ÇÇ½Ì °ø°Ý
»çȸ±â¹Ý½Ã¼³ °ø°Ý°ú OT º¸¾È À§Çù
´õ¿í ½ÉÇØÁö´Â º¸¾ÈÀη ºÎÁ· ¹®Á¦
Á¦·ÎÆ®·¯½ºÆ®¿Í °ø±Þ¸Á º¸¾È
°¡¼ÓÈ­µÇ´Â Ŭ¶ó¿ìµå·ÎÀÇ Àüȯ°ú ÀÌ¿¡ µû¸¥ º¸¾ÈÀ§Çù
¸ð¹ÙÀÏ È°¿ëÇÑ º¸ÀÎÀÎÁõ È°¼ºÈ­¿Í ÀÎÁõº¸¾È À̽´
AI CCTVÀÇ ¿ªÇÒ È®´ë