Objet: Multiples vulnérabilités dans les produits SAP

Risque(s)

• Exécution de code arbitraire à distance
• Déni de service à distance
• Contournement de la politique de sécurité
• Injection de code indirecte à distance (XSS)
• Injection de requêtes illégitimes par rebond (CSRF)

Systèmes affectés

• SAP Solution Manager (User Experience Monitoring) version 7.2
• SAP Solution Manager (Diagnostics Agent) version 7.2
• SAP Business Client version 6.5
• SAP NetWeaver UDDI Server (Services Registry) versions 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 et 7.50
• SAP Business Objects Business Intelligence Platform (Crystal Reports) versions 4.1 et 4.2
• SAP Disclosure Management  version 10.1
• SAP BusinessObjects Mobile (MobileBIService) version 4.2
• SAP MaxDB (liveCache) versions 7.8 et 7.9
• SAP Commerce Cloud (Testweb Extension) versions 6.6, 6.7, 1808, 1811 et 1905
• SAP NetWeaver AS ABAP Business Server Pages (Smart Forms) - SAP_BASIS versions 7.00, 7.01, 7.02, 7.10, 7.11, 7.30, 7.31, 7.40, 7.50, 7.51, 7.52,
• .53 et 7.54
• SAP NetWeaver Application Server Java (User Management Engine) versions 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 et 7.50
• SAP Commerce Cloud (SmartEdit Extension) versions - 6.6, 6.7, 1808 et 1811
• SAP ERP (EAPPGLO) version 607
• SAP Enable Now versions antérieures à 1911
• SAP Fiori Launchpad versions 753 et 754
• SAP Cloud Platform Integration for Data Services version 1.0
• SAP Treasury and Risk Management (Transaction Management) versions EA-FINSERV 600, 603, 604, 605, 606, 616, 617, 618, 800, S4CORE 101, 102, 103 et 104
• SAP Enable Now versions antérieures à 1908

Résumé

De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

• Bulletin de sécurité SAP du 10 mars 2020
  https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=540935305
• Référence CVE CVE-2020-6207
  https://www.cve.org/CVERecord?id=CVE-2020-6207
• Référence CVE CVE-2020-6198
  https://www.cve.org/CVERecord?id=CVE-2020-6198
• Référence CVE CVE-2020-6203
  https://www.cve.org/CVERecord?id=CVE-2020-6203
• Référence CVE CVE-2020-6208
  https://www.cve.org/CVERecord?id=CVE-2020-6208
• Référence CVE CVE-2020-6209
  https://www.cve.org/CVERecord?id=CVE-2020-6209
• Référence CVE CVE-2020-6196
  https://www.cve.org/CVERecord?id=CVE-2020-6196
• Référence CVE CVE-2018-2450
  https://www.cve.org/CVERecord?id=CVE-2018-2450
• Référence CVE CVE-2020-6201
  https://www.cve.org/CVERecord?id=CVE-2020-6201
• Référence CVE CVE-2020-6205
  https://www.cve.org/CVERecord?id=CVE-2020-6205
• Référence CVE CVE-2020-6202
  https://www.cve.org/CVERecord?id=CVE-2020-6202
• Référence CVE CVE-2020-6200
  https://www.cve.org/CVERecord?id=CVE-2020-6200
• Référence CVE CVE-2020-6199
  https://www.cve.org/CVERecord?id=CVE-2020-6199
• Référence CVE CVE-2020-6178
  https://www.cve.org/CVERecord?id=CVE-2020-6178
• Référence CVE CVE-2020-6210
  https://www.cve.org/CVERecord?id=CVE-2020-6210
• Référence CVE CVE-2020-6206
  https://www.cve.org/CVERecord?id=CVE-2020-6206
• Référence CVE CVE-2020-6204
  https://www.cve.org/CVERecord?id=CVE-2020-6204
• Référence CVE CVE-2020-6197
  https://www.cve.org/CVERecord?id=CVE-2020-6197