CVE 번호 부여 기관 됨에 따라 패치 소비 주기 줄일 수 있게 돼
지난 달 패치 노트에 언급된 것까지 총 19개 보안 노트 발표

[보안뉴스 문가용 기자] 소프트웨어 업체 SAP가 이번 주 11개 취약점을 해결하는 보안 패치를 발표했다. 그런데 12월의 보안 패치는 여태까지의 그것과 사뭇 다르다. 취약점들에 CVE라는 이름표가 붙었기 때문이다. 이는 곧 SAP가 CVE 취약점 번호를 부여할 권한이 주어졌다는 것이다. 이러한 권리나 단체를 CNA(CVE Numbering Authority)라고 부른다.


SAP는 예전부터 CNA가 되고 싶어 했다. 자사 제품에서 발견된 취약점을 투명하고 빠르게 공개해 사용자들이 패치를 최대한 빨리 적용할 수 있게 만들기 위해서다. 즉 패치 소비 주기를 바짝 조이기 위해서라도 CNA가 될 필요가 있다고 느껴왔었다.

한편 이번에 공개된 취약점 11가지 중 한 개는 그 위험도가 매우 높아 CVSS 점수 9.1점을 기록했다. OS 명령 주입 취약점으로 SAP 넷위버 도큐멘테이션 앤 트랜슬레이션(SAP Netweaver Documentation and Translation) 툴들에서 발견됐다. 사실 이는 작년 이맘 때 한 번 발표된 패치였으나, 문제를 완전히 해결하지 못했기에 이번에 다시 배포되기 시작한 것이다. 또한 패치의 완벽한 적용을 위한 사용자 가이드도 PDF 파일로 같이 배포 중에 있다.

이를 먼저 시험 적용해본 오냅시스(Onapsis)는 “가이드에 나온 그대로 패치를 적용하면 아무런 문제가 발생하지 않는다”고 발표했다. 다시 한 번 같은 문제로 패치가 재배포 되는 경우는 없을 것이라고 예측하기도 했으며, 작년의 원 패치를 적용한 업체들이라면 더더욱 가이드를 참조해야 할 것이라고 말했다.

고위험군 취약점 한 개 외에도 이번 패치를 통해 ‘위험군’에 속하는 취약점 세 개도 공개되고 수정됐다. 한 개는 Trusted RFC에 있는 추가 인증(Additional Authentication) 확인 기능에서 발견된 CVE-2017-16689이며, 두 번째 것은 SAP BI Promotion Management Application의 부재 인증(Missing Authentication) 확인 기능에서 발견된 CVE-2017-16684이고, 마지막은 아파치 스트러츠(Apache Struts) 1.x 버전에서 발견된 CVE-2014-0095이다.

나머지는 중간급 위험도를 가진 취약점들로, XSS 취약점인 CVE-2017-16685, SSRF 취약점인 CVE-2017-16678, DoS 취약점인 CVE-2017-16683 등이다. SAP은 11개 취약점과 함께 네 개의 추가 업데이트와 네 개의 지원 패키지도 발표해 총 19개의 보안 주의사항을 발표했다.

이 19개의 보안 주의사항을 취약점들을 유형별로 집계해보면 구축 관련 오류(implementation flaw)가 5개로 가장 많았다. 그 다음은 XSS 취약점이 2개, 정보 노출 취약점이 2개, 부재 인증 취약점이 2개, DoS 취약점이 2개, OS 명령 실행 취약점이 2개로 동률을 기록했다. 이 외에 원격 명령 실행 취약점이 1개, 오픈 리다이렉트 취약점이 1개, SSRF가 1개, 로그 주입 취약점이 1개씩 다뤄지기도 했다.

이중 로그 주입 취약점인 CVE-2017-16687은 SAP HANA XS 클래식 사용자들에게 영향을 줄 수 있는 것으로, 공격자들이 임의의 데이터를 감사 로그에 주입할 수 있게 해준다. 이를 악용하면 감사 로그 분석을 크게 방해할 수 있게 된다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>