Risques
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Déni de service à distance
- Injection de code indirecte à distance (XSS)
Systèmes affectés
- SAP BusinessObjects Business Intelligence Platform (Web Intelligence HTML interface), Versions - 420, 430
- SAP Customer Relationship Management (Email Management), Versions - S4CRM 100, 200
- SAP Dynamic Tiering, Version - 1.0, 2.0
- SAP Financial Consolidation, Versions - 10.0, 10.1
- SAP IQ, Version - 16.1
- SAP Kernel (RFC), Versions - KRNL32NUC, KRNL32UC and KRNL64NUC 7.21, 7.21EXT, 7.22, 7.22EXT, KRNL64UC 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49, 7.73 and KERNEL 7.21, 7.49, 7.53, 7.73, 7.76
- SAP Landscape Management enterprise edition, Version - 3.0
- SAP NetWeaver Process Integration (B2B Toolkit), Versions - 1.0, 2.0
- SAP Process Integration, business-to-business add-on, Versions - 1.0, 2.0
- SAP SQL Anywhere, Version - 17.0
Résumé
De multiples vulnérabilités ont été découvertes dans plusieurs produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer un déni de service à distance, un contournement de la politique de sécurité et une atteinte à la confidentialité des données.
Note : Les scores CVSS pour les CVE-2019-0379 et CVE-2019-0380 ne sont pas correctement représentés sur le site du NVD. Le bulletin de SAP fournit les bonnes métriques.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité SAP du 11 octobre 2019 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=528123050
- Référence CVE CVE-2019-0365 https://www.cve.org/CVERecord?id=CVE-2019-0365
- Référence CVE CVE-2019-0367 https://www.cve.org/CVERecord?id=CVE-2019-0367
- Référence CVE CVE-2019-0368 https://www.cve.org/CVERecord?id=CVE-2019-0368
- Référence CVE CVE-2019-0369 https://www.cve.org/CVERecord?id=CVE-2019-0369
- Référence CVE CVE-2019-0370 https://www.cve.org/CVERecord?id=CVE-2019-0370
- Référence CVE CVE-2019-0374 https://www.cve.org/CVERecord?id=CVE-2019-0374
- Référence CVE CVE-2019-0375 https://www.cve.org/CVERecord?id=CVE-2019-0375
- Référence CVE CVE-2019-0376 https://www.cve.org/CVERecord?id=CVE-2019-0376
- Référence CVE CVE-2019-0377 https://www.cve.org/CVERecord?id=CVE-2019-0377
- Référence CVE CVE-2019-0378 https://www.cve.org/CVERecord?id=CVE-2019-0378
- Référence CVE CVE-2019-0379 https://www.cve.org/CVERecord?id=CVE-2019-0379
- Référence CVE CVE-2019-0380 https://www.cve.org/CVERecord?id=CVE-2019-0380
- Référence CVE CVE-2019-0381 https://www.cve.org/CVERecord?id=CVE-2019-0381
