Risques
- Atteinte à la confidentialité des données
- Déni de service à distance
- Exécution de code arbitraire à distance
Systèmes affectés
- SAP DB 7.x ;
- SAP Internet Communication Framework ;
- SAP Internet Graphics Service (IGS) 6.x ;
- SAP Internet Graphics Service (IGS) 7.x ;
- SAP Message Server ;
- SAP NetWeaver 4.x ;
- SAP R/3 ;
- SAP RFC Library 6.x ;
- SAP RFC Library 7.x.
- SAP Web Application Server 6.x ;
- SAP Web Application Server 7.x ;
Description
De nombreuses vulnérabilités découvertes dans les produits SAP permettent à un utilisateur distant malintentionné de réaliser un déni de service, de porter atteinte à la confidentialité des données ou d'exécuter du code arbitraire.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletins de sécurité CNSC du 17 juin 2007 : http://www.csnc.ch/advisory/sap01.html?__cookie_try=1
- Bulletins de sécurité CNSC du 17 juin 2007 : http://www.csnc.ch/advisory/sap02.html?__cookie_try=1
- Bulletins de sécurité CYBSEC du 03 avril 2007 : http://www.cybsec.com/vuln/CYBSEC-Security_Advisory_SAP_TRUSTED_SYSTEM_SECURITY_RFC_Function_Information_Disclosure.pdf
- Bulletins de sécurité CYBSEC du 03 avril 2007 : http://www.cybsec.com/vuln/CYBSEC-Security_Advisory_SAP_SYSTEM_CREATE_INSTANCE_RFC_Function_Buffer_Overflow.pdf
- Bulletins de sécurité CYBSEC du 03 avril 2007 : http://www.cybsec.com/vuln/CYBSEC-Security_Advisory_SAP_RFC_START_GUI_RFC_Function_Buffer_Overflow.pdf
- Bulletins de sécurité CYBSEC du 03 avril 2007 : http://www.cybsec.com/vuln/CYBSEC-Security_Advisory_SAP_RFC_START_PROGRAM_RFC_Function_Multiple_Vulnerabilities.pdf
- Bulletins de sécurité CYBSEC du 03 avril 2007 : http://www.cybsec.com/vuln/CYBSEC-Security_Advisory_SAP_RFC_SET_REG_SERVER_PROPERTIE_RFC_Function_Denial_of_Service.pdf
- Bulletins de sécurité NGS Software du 05 juillet 2007 : / http://www.ngssoftware.com/advisories/medium-risk-vulnerability-in-sap-internet-graphics-server/
- Bulletins de sécurité NGS Software du 05 juillet 2007 : / http://www.ngssoftware.com/advisories/critical-risk-vulnerability-in-sap-message-server-heap-overflow/
- Bulletins de sécurité NGS Software du 05 juillet 2007 : / http://www.ngssoftware.com/advisories/critical-risk-vulnerability-in-sap-db-web-server-stack-overflow/
- Bulletins de sécurité NGS Software du 05 juillet 2007 : / http://www.ngssoftware.com/advisories/high-risk-vulnerability-in-sap-internet-communication-manager-dos
- Référence CVE CVE-2007-1914 https://www.cve.org/CVERecord?id=CVE-2007-1914
- Référence CVE CVE-2007-1915 https://www.cve.org/CVERecord?id=CVE-2007-1915
- Référence CVE CVE-2007-1916 https://www.cve.org/CVERecord?id=CVE-2007-1916
- Référence CVE CVE-2007-1917 https://www.cve.org/CVERecord?id=CVE-2007-1917
- Référence CVE CVE-2007-1918 https://www.cve.org/CVERecord?id=CVE-2007-1918
- Référence CVE CVE-2007-3495 https://www.cve.org/CVERecord?id=CVE-2007-3495
- Référence CVE CVE-2007-3496 https://www.cve.org/CVERecord?id=CVE-2007-3496