S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 09 juin 2020
N° CERTFR-2020-AVI-350
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits SAP

Gestion du document

Référence CERTFR-2020-AVI-350
Titre Multiples vulnérabilités dans les produits SAP
Date de la première version09 juin 2020
Date de la dernière version09 juin 2020
Source(s) Bulletin de sécurité SAP 547426775 du 09 juin 2020

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Exécution de code arbitraire à distance
  • Injection de code indirecte à distance (XSS)
  • Non spécifié par l'éditeur

Systèmes affectés

  • .30, 7.31, 7.40 et 7.50
  • SAP Business Objects Business Intelligence Platform version 4.2
  • SAP Business One (Backup service) versions 9.3,et 10.0
  • SAP Commerce (Data Hub) versions 6.7, 1808, 1811 et 1905
  • SAP Commerce versions 6.7, 1808, 1811 et 1905
  • SAP ERP (Statutory Reporting for Insurance Companies) versions EA-FINSERV 600, 603, 604, 605, 606, 616, 617, 618 et 800; S4CORE 101, 102, 103 et 104
  • SAP Fiori pour SAP S/4HANA versions 200, 300, 400 et 500
  • SAP Gateway versions 7.40 et 2.00
  • SAP Gateway versions 7.5, 7.51, 7.52 et 7.53
  • SAP Liquidity Management for Banking version 6.2
  • SAP NetWeaver AS ABAP (Banking Services) versions 710, 711, 740, 750, 751, 752, 75A, 75B, 75C, 75D et 75E
  • SAP NetWeaver AS ABAP (Business Server Pages Test Application SBSPEXT_TABLE) versions 700, 701, 702, 730, 731, 740, 750, 751, 752, 753 et 754
  • SAP Netweaver AS ABAP versions 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753 et 754
  • SAP NetWeaver AS JAVA (P4 Protocol) versions SAP-JEECOR 7.00 et 7.01; SERVERCOR 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 et 7.50; CORE-TOOLS 7.00, 7.01, 7.02, 7.05, 7.10, 7.11, 7.20,
  • SAP Solution Manager (Problem Context Manager) version 7.2
  • SAP Solution Manager (Trace Analysis) version 7.20
  • SAP SuccessFactors Recruiting version 2005

Résumé

De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l'éditeur, une exécution de code arbitraire à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 09 juin 2020
    Version initiale