S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 31 janvier 2012
N° CERTA-2012-AVI-040
Affaire suivie par: CERT-FR
le 31 janvier 2012

Avis du CERT-FR

Objet: Vulnérabilités dans SAP NetWeaver

Gestion du document

Référence CERTA-2012-AVI-040
Titre Vulnérabilités dans SAP NetWeaver
Date de la première version 31 janvier 2012
Date de la dernière version 31 janvier 2012
Source(s) Bulletins de sécurité SAP
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Contournement de la politique de sécurité ;
  • injection de code indirecte à distance.

Systèmes affectés

SAP NetWeaver 7.x.

Résumé

Plusieurs vulnérabilités permettant à un utilisateur distant malintentionné de contourner la politique de sécurité et d'injecter indirectement du code à distance sont présentes dans SAP NetWeaver.

Description

Quatre vulnérabilités sont présentes dans SAP NetWeaver. La première concerne une faiblesse dans la gestion des accès à certaines ressources, permettant ainsi de contourner la politique de sécurité. La deuxième permet à une personne malintentionnée d'énumérer les fichiers présents sur le système, permettant ainsi le contournement de la politique de sécurité. La troisième permet d'effectuer une injection de code à distance grâce à une faille dans le module Text Container Administration Application. La dernière concerne SAP NetWeaver Business Communication Broker et permet à une personne malintentionnée d'effectuer une injection de code indirecte à distance.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 31 janvier 2012
    version initiale.