Risque(s)
- Exécution de code arbitraire à distance
- Déni de service à distance
- Contournement de la politique de sécurité
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Élévation de privilèges
- Injection de code indirecte à distance (XSS)
Systèmes affectés
- SAP Business Client versions antérieures à 6.5
- SAP Business Warehouse versions antérieures à 710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755 et 782
- SAP Business Warehouse versions antérieures à 700, 701, 702, 711, 730, 731, 740, 750 et 782
- SAP BW4HANA versions antérieures à 100 et 200
- SAP Business Warehouse versions antérieures à 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755 et 782
- SAP BW4HANA versions antérieures à 100 et 200
- SAP NetWeaver AS JAVA versions antérieures à 7.20, 7.30, 7.31, 7.40 et 7.50
- SAP NetWeaver AS ABAP versions antérieures à 740, 750, 751, 752, 753, 754 et 755
- Automated Note Search Tool (SAP Basis) versions antérieures à 7.0, 7.01,7.02, 7.31, 7.4, 7.5, 7.51, 7.52, 7.53 et 7.54
- SAP NetWeaver AS Java (HTTP Service) versions antérieures à 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 et 7.50
- SAP Commerce Cloud versions antérieures à 1808, 1811, 1905, 2005 et 2011
- SAP BusinessObjects Business Intelligence platform (Web Intelligence HTML interface) versions antérieures à 410 et 420
- SAP Master Data Governance versions antérieures à 748, 749, 750, 751, 752, 800, 801, 802, 803 et 804
- SAP NetWeaver AS JAVA (Key Storage Service) versions antérieures à 7.10, 7.11, 7.20 ,7.30, 7.31, 7.40 et 7.50
- SAP GUI FOR WINDOWS versions antérieures à 7.60
- SAP NetWeaver Master Data Management versions antérieures à 7.10, 7.10.750 et 710
- SAP 3D Visual Enterprise Viewer versions antérieures à 9.0
- SAP Banking Services (Generic Market Data) versions antérieures à 400, 450 et 500
- SAP EPM ADD-IN versions antérieures à 2.8 et 1010
Résumé
De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité SAP du 12 janvier 2021
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=564760476 - Référence CVE CVE-2021-21465
https://www.cve.org/CVERecord?id=CVE-2021-21465 - Référence CVE CVE-2021-21468
https://www.cve.org/CVERecord?id=CVE-2021-21468 - Référence CVE CVE-2021-21466
https://www.cve.org/CVERecord?id=CVE-2021-21466 - Référence CVE CVE-2020-26838
https://www.cve.org/CVERecord?id=CVE-2020-26838 - Référence CVE CVE-2020-26820
https://www.cve.org/CVERecord?id=CVE-2020-26820 - Référence CVE CVE-2021-21446
https://www.cve.org/CVERecord?id=CVE-2021-21446 - Référence CVE CVE-2020-6307
https://www.cve.org/CVERecord?id=CVE-2020-6307 - Référence CVE CVE-2020-6224
https://www.cve.org/CVERecord?id=CVE-2020-6224 - Référence CVE CVE-2021-21445
https://www.cve.org/CVERecord?id=CVE-2021-21445 - Référence CVE CVE-2021-21447
https://www.cve.org/CVERecord?id=CVE-2021-21447 - Référence CVE CVE-2020-6256
https://www.cve.org/CVERecord?id=CVE-2020-6256 - Référence CVE CVE-2020-26816
https://www.cve.org/CVERecord?id=CVE-2020-26816 - Référence CVE CVE-2021-21448
https://www.cve.org/CVERecord?id=CVE-2021-21448 - Référence CVE CVE-2021-21469
https://www.cve.org/CVERecord?id=CVE-2021-21469 - Référence CVE CVE-2021-21449
https://www.cve.org/CVERecord?id=CVE-2021-21449 - Référence CVE CVE-2021-21457
https://www.cve.org/CVERecord?id=CVE-2021-21457 - Référence CVE CVE-2021-21458
https://www.cve.org/CVERecord?id=CVE-2021-21458 - Référence CVE CVE-2021-21459
https://www.cve.org/CVERecord?id=CVE-2021-21459 - Référence CVE CVE-2021-21450
https://www.cve.org/CVERecord?id=CVE-2021-21450 - Référence CVE CVE-2021-21451
https://www.cve.org/CVERecord?id=CVE-2021-21451 - Référence CVE CVE-2021-21452
https://www.cve.org/CVERecord?id=CVE-2021-21452 - Référence CVE CVE-2021-21453
https://www.cve.org/CVERecord?id=CVE-2021-21453 - Référence CVE CVE-2021-21454
https://www.cve.org/CVERecord?id=CVE-2021-21454 - Référence CVE CVE-2021-21455
https://www.cve.org/CVERecord?id=CVE-2021-21455 - Référence CVE CVE-2021-21456
https://www.cve.org/CVERecord?id=CVE-2021-21456 - Référence CVE CVE-2021-21460
https://www.cve.org/CVERecord?id=CVE-2021-21460 - Référence CVE CVE-2021-21461
https://www.cve.org/CVERecord?id=CVE-2021-21461 - Référence CVE CVE-2021-21462
https://www.cve.org/CVERecord?id=CVE-2021-21462 - Référence CVE CVE-2021-21463
https://www.cve.org/CVERecord?id=CVE-2021-21463 - Référence CVE CVE-2021-21464
https://www.cve.org/CVERecord?id=CVE-2021-21464 - Référence CVE CVE-2021-21467
https://www.cve.org/CVERecord?id=CVE-2021-21467 - Référence CVE CVE-2021-21470
https://www.cve.org/CVERecord?id=CVE-2021-21470