S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 09 juin 2020
N° CERTFR-2020-AVI-350
Affaire suivie par: CERT-FR
le 09 juin 2020

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits SAP

Gestion du document

Référence CERTFR-2020-AVI-350
Titre Multiples vulnérabilités dans les produits SAP
Date de la première version 09 juin 2020
Date de la dernière version 09 juin 2020
Source(s) Bulletin de sécurité SAP 547426775 du 09 juin 2020
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque(s)

  • Non spécifié par l'éditeur
  • Exécution de code arbitraire à distance
  • Contournement de la politique de sécurité
  • Atteinte à la confidentialité des données
  • Injection de code indirecte à distance (XSS)

Systèmes affectés

  • SAP Liquidity Management for Banking version 6.2
  • SAP Commerce versions 6.7, 1808, 1811 et 1905
  • SAP Commerce (Data Hub) versions  6.7, 1808, 1811 et 1905
  • SAP Commerce versions 6.7, 1808, 1811 et 1905
  • SAP Solution Manager (Problem Context Manager) version 7.2
  • SAP SuccessFactors Recruiting version 2005
  • SAP Netweaver AS ABAP versions 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753 et 754
  • SAP NetWeaver AS JAVA (P4 Protocol) versions SAP-JEECOR 7.00 et 7.01; SERVERCOR 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 et 7.50; CORE-TOOLS 7.00, 7.01, 7.02, 7.05, 7.10, 7.11, 7.20,
  • .30, 7.31, 7.40 et 7.50
  • SAP NetWeaver AS ABAP (Banking Services) versions 710, 711, 740, 750, 751, 752, 75A, 75B, 75C, 75D et 75E
  • SAP Solution Manager (Trace Analysis) version 7.20
  • SAP NetWeaver AS ABAP (Business Server Pages Test Application SBSPEXT_TABLE) versions 700, 701, 702, 730, 731, 740, 750, 751, 752, 753 et 754
  • SAP Fiori pour SAP S/4HANA versions 200, 300, 400 et 500
  • SAP Fiori pour SAP S/4HANA versions 200, 300, 400 et 500
  • SAP ERP (Statutory Reporting for Insurance Companies) versions EA-FINSERV 600, 603, 604, 605, 606, 616, 617, 618 et 800; S4CORE 101, 102, 103 et 104
  • SAP Business One (Backup service) versions 9.3,et 10.0
  • SAP Gateway versions 7.5, 7.51, 7.52 et 7.53
  • SAP Gateway versions 7.40 et 2.00
  • SAP Business Objects Business Intelligence Platform version 4.2

Résumé

De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l'éditeur, une exécution de code arbitraire à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 09 juin 2020
    Version initiale