Objet: Multiples vulnérabilités dans plusieurs produits SAP

Risque(s)

• Déni de service à distance
• Contournement de la politique de sécurité
• Atteinte à la confidentialité des données
• Injection de code indirecte à distance (XSS)

Systèmes affectés

• SAP Process Integration, business-to-business add-on, Versions - 1.0, 2.0
• SAP Landscape Management enterprise edition, Version - 3.0
• SAP IQ, Version - 16.1
• SAP SQL Anywhere, Version - 17.0
• SAP Dynamic Tiering, Version - 1.0, 2.0
• SAP Customer Relationship Management (Email Management), Versions - S4CRM 100, 200
• SAP BusinessObjects Business Intelligence Platform (Web Intelligence HTML interface), Versions - 420, 430
• SAP Financial Consolidation, Versions - 10.0, 10.1
• SAP Kernel (RFC), Versions - KRNL32NUC, KRNL32UC and KRNL64NUC 7.21, 7.21EXT, 7.22, 7.22EXT, KRNL64UC 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49, 7.73 and KERNEL 7.21, 7.49, 7.53, 7.73, 7.76
• SAP NetWeaver Process Integration (B2B Toolkit), Versions - 1.0, 2.0

Résumé

De multiples vulnérabilités ont été découvertes dans plusieurs produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer un déni de service à distance, un contournement de la politique de sécurité et une atteinte à la confidentialité des données.

Note : Les scores CVSS pour les CVE-2019-0379 et CVE-2019-0380 ne sont pas correctement représentés sur le site du NVD. Le bulletin de SAP fournit les bonnes métriques.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

• Bulletin de sécurité SAP du 11 octobre 2019
  https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=528123050
• Référence CVE CVE-2019-0381
  https://www.cve.org/CVERecord?id=CVE-2019-0381
• Référence CVE CVE-2019-0380
  https://www.cve.org/CVERecord?id=CVE-2019-0380
• Référence CVE CVE-2019-0379
  https://www.cve.org/CVERecord?id=CVE-2019-0379
• Référence CVE CVE-2019-0378
  https://www.cve.org/CVERecord?id=CVE-2019-0378
• Référence CVE CVE-2019-0377
  https://www.cve.org/CVERecord?id=CVE-2019-0377
• Référence CVE CVE-2019-0376
  https://www.cve.org/CVERecord?id=CVE-2019-0376
• Référence CVE CVE-2019-0375
  https://www.cve.org/CVERecord?id=CVE-2019-0375
• Référence CVE CVE-2019-0374
  https://www.cve.org/CVERecord?id=CVE-2019-0374
• Référence CVE CVE-2019-0370
  https://www.cve.org/CVERecord?id=CVE-2019-0370
• Référence CVE CVE-2019-0369
  https://www.cve.org/CVERecord?id=CVE-2019-0369
• Référence CVE CVE-2019-0368
  https://www.cve.org/CVERecord?id=CVE-2019-0368
• Référence CVE CVE-2019-0367
  https://www.cve.org/CVERecord?id=CVE-2019-0367
• Référence CVE CVE-2019-0365
  https://www.cve.org/CVERecord?id=CVE-2019-0365