S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 08 septembre 2020
N° CERTFR-2020-AVI-549
Affaire suivie par: CERT-FR
le 08 septembre 2020

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits SAP

Gestion du document

Référence CERTFR-2020-AVI-549
Titre Multiples vulnérabilités dans les produits SAP
Date de la première version 08 septembre 2020
Date de la dernière version 08 septembre 2020
Source(s) Bulletin de sécurité SAP du 08 septembre 2020
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque(s)

  • Non spécifié par l'éditeur
  • Exécution de code arbitraire à distance
  • Contournement de la politique de sécurité
  • Atteinte à la confidentialité des données
  • Injection de code indirecte à distance (XSS)

Systèmes affectés

  • SAP Solution Manager (User Experience Monitoring) version 7.2
  • SAP Business Client version 6.5
  • SAP Marketing (Mobile Channel Servlet) versions 130, 140 et 150
  • SAP NetWeaver (ABAP Server) et ABAP Platform versions 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753, 754 et 755
  • SAP NetWeaver (ABAP Server) et ABAP Platform versions 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 753 et 755
  • SAP Netweaver AS ABAP versions 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753 et 754
  • BANKING SERVICES FROM SAP 9.0 (Bank Analyzer) version 500
  • S/4HANA FIN PROD SUBLDGR version 100
  • SAP Commerce versions 6.7, 1808, 1811, 1905 et 2005
  • SAP NetWeaver AS ABAP (BSP Test Application) versions 700,701,702,730,731,740,750,751,752,753,754 et 755
  • SAPUI5 (UISAPUI5_JAVA) version 7.50
  • SAPUI5 (SAP_UI) versions 750, 751, 752, 753, 754 et 755
  • SAPUI5 (UI_700) version 200
  • SAP NetWeaver AS JAVA (IIOP service) (SERVERCORE) versions 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 et 7.50
  • SAP NetWeaver AS JAVA (IIOP service) (CORE-TOOLS) versions 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 et 7.50
  • SAP NetWeaver (Knowledge Management) versions 7.30,7.31,7.40 et 7.50
  • SAP Business Objects Business Intelligence Platform (BI Workspace) versions 4.1 et 4.2
  • SAPFiori (Launchpad) versions 750, 752, 753, 754 et 755
  • SAP 3D Visual Enterprise Viewer version 9
  • SAP Adaptive Server Enterprise versions 15.7 et 16.0

Résumé

De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l'éditeur, une exécution de code arbitraire à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 08 septembre 2020
    Version initiale