{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"LM Configuration Wizard de SAP NetWeaver AS JAVA version 7.50","product":{"name":"SAP NetWeaver AS Java","vendor":{"name":"SAP","scada":false}}},{"description":"LM Configuration Wizard de SAP NetWeaver AS JAVA version 7.30","product":{"name":"SAP NetWeaver AS Java","vendor":{"name":"SAP","scada":false}}},{"description":"LM Configuration Wizard de SAP NetWeaver AS JAVA version 7.40","product":{"name":"SAP NetWeaver AS Java","vendor":{"name":"SAP","scada":false}}},{"description":"LM Configuration Wizard de SAP NetWeaver AS JAVA version 7.31","product":{"name":"SAP NetWeaver AS Java","vendor":{"name":"SAP","scada":false}}}],"affected_systems_content":null,"closed_at":"2020-10-12","content":"## Solution\n\nL'exposition de Netweaver AS requiert l'application des correctifs sans\nd\u00e9lai. Se r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention\ndes correctifs (cf. section Documentation).\n\nLe CERT-FR recommande \u00e9galement d'appliquer les mesures de s\u00e9curisation\ndes applications accessibles en nomadisme \\[1\\].\n\n------------------------------------------------------------------------\n\nLa mise \u00e0\u00a0jour d'un produit ou d'un logiciel est une op\u00e9ration d\u00e9licate\nqui doit \u00eatre men\u00e9e avec prudence. Il est notamment recommander\nd'effectuer des tests autant que possible. Des dispositions doivent\n\u00e9galement \u00eatre prises pour garantir la continuit\u00e9 de service en cas de\ndifficult\u00e9s lors de l'application des mises \u00e0 jour comme des correctifs\nou des changements de version.\n","cves":[{"name":"CVE-2020-6286","url":"https://www.cve.org/CVERecord?id=CVE-2020-6286"},{"name":"CVE-2020-6287","url":"https://www.cve.org/CVERecord?id=CVE-2020-6287"}],"links":[{"title":"Bulletin de s\u00e9curit\u00e9 SAP du 14 juillet 2020","url":"https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=552599675"},{"title":"[1] Guide ANSSI sur le nomadisme num\u00e9rique","url":"https://www.ssi.gouv.fr/guide/recommandations-sur-le-nomadisme-numerique/"}],"reference":"CERTFR-2020-ALE-017","revisions":[{"description":"Version initiale","revision_date":"2020-07-15T00:00:00.000000"},{"description":"Des codes d'attaques sont disponibles publiquement.","revision_date":"2020-07-22T00:00:00.000000"},{"description":"Cl\u00f4ture de l'alerte. La cl\u00f4ture d'une alerte ne signifie pas la fin d'une menace. Seule l'application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l'exploitation de la vuln\u00e9rabilit\u00e9 correspondante.","revision_date":"2020-10-12T00:00:00.000000"}],"risks":[{"description":"Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"},{"description":"Atteinte \u00e0 l'int\u00e9grit\u00e9 des donn\u00e9es"},{"description":"Contournement de la politique de s\u00e9curit\u00e9"}],"summary":"\\[Mise \u00e0 jour du 22 juillet 2020\\]\n\nLe CERT-FR a connaissance de codes d'attaques disponibles publiquement.\n\nLe CERT-FR renouvelle sa recommandation d'appliquer les correctifs de\ns\u00e9curit\u00e9 dans les plus brefs d\u00e9lais.\n\nSAP fournit plus de renseignements \u00e0 ses clients dans sa note 2934135\n()\n\n\\[Publication initiale\\]\n\nDe multiples vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans le composant LM\nConfiguration Wizard de SAP Netweaver AS JAVA. Un attaquant non\nauthentifi\u00e9 peut contourner la politique de s\u00e9curit\u00e9 pour ex\u00e9cuter\ndiff\u00e9rentes actions d'administration. En particulier, l'attaquant est en\nmesure de cr\u00e9er un compte avec les droits administrateurs pour se\nmaintenir sur le syst\u00e8me.\n","title":"Multiples vuln\u00e9rabilit\u00e9s dans SAP Netweaver AS JAVA","vendor_advisories":[{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 SAP du 14 juillet 2020","url":null},{"published_at":null,"title":"Bulletin CERT-FR CERTFR-2020-AVI-432 du 15 juillet 2020","url":"https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-432/"}]}