Multiples vulnérabilités dans les produits SAP

Risques

Atteinte à la confidentialité des données
Déni de service à distance
Exécution de code arbitraire à distance

Systèmes affectés

SAP DB 7.x ;
SAP Internet Communication Framework ;
SAP Internet Graphics Service (IGS) 6.x ;
SAP Internet Graphics Service (IGS) 7.x ;
SAP Message Server ;
SAP NetWeaver 4.x ;
SAP R/3 ;
SAP RFC Library 6.x ;
SAP RFC Library 7.x.
SAP Web Application Server 6.x ;
SAP Web Application Server 7.x ;

Description

De nombreuses vulnérabilités découvertes dans les produits SAP permettent à un utilisateur distant malintentionné de réaliser un déni de service, de porter atteinte à la confidentialité des données ou d'exécuter du code arbitraire.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletins de sécurité CNSC du 17 juin 2007 :

http://www.csnc.ch/advisory/sap01.html?__cookie_try=1

Bulletins de sécurité CNSC du 17 juin 2007 :

http://www.csnc.ch/advisory/sap02.html?__cookie_try=1

Bulletins de sécurité CYBSEC du 03 avril 2007 :

http://www.cybsec.com/vuln/CYBSEC-Security_Advisory_SAP_TRUSTED_SYSTEM_SECURITY_RFC_Function_Information_Disclosure.pdf

Bulletins de sécurité CYBSEC du 03 avril 2007 :

http://www.cybsec.com/vuln/CYBSEC-Security_Advisory_SAP_SYSTEM_CREATE_INSTANCE_RFC_Function_Buffer_Overflow.pdf

Bulletins de sécurité CYBSEC du 03 avril 2007 :

http://www.cybsec.com/vuln/CYBSEC-Security_Advisory_SAP_RFC_START_GUI_RFC_Function_Buffer_Overflow.pdf

Bulletins de sécurité CYBSEC du 03 avril 2007 :

http://www.cybsec.com/vuln/CYBSEC-Security_Advisory_SAP_RFC_START_PROGRAM_RFC_Function_Multiple_Vulnerabilities.pdf

Bulletins de sécurité CYBSEC du 03 avril 2007 :

http://www.cybsec.com/vuln/CYBSEC-Security_Advisory_SAP_RFC_SET_REG_SERVER_PROPERTIE_RFC_Function_Denial_of_Service.pdf

Bulletins de sécurité NGS Software du 05 juillet 2007 : /

http://www.ngssoftware.com/advisories/medium-risk-vulnerability-in-sap-internet-graphics-server/

Bulletins de sécurité NGS Software du 05 juillet 2007 : /

http://www.ngssoftware.com/advisories/critical-risk-vulnerability-in-sap-message-server-heap-overflow/

Bulletins de sécurité NGS Software du 05 juillet 2007 : /

http://www.ngssoftware.com/advisories/critical-risk-vulnerability-in-sap-db-web-server-stack-overflow/

Bulletins de sécurité NGS Software du 05 juillet 2007 : /

http://www.ngssoftware.com/advisories/high-risk-vulnerability-in-sap-internet-communication-manager-dos

Référence CVE CVE-2007-1914

https://www.cve.org/CVERecord?id=CVE-2007-1914

Référence CVE CVE-2007-1915

https://www.cve.org/CVERecord?id=CVE-2007-1915

Référence CVE CVE-2007-1916

https://www.cve.org/CVERecord?id=CVE-2007-1916

Référence CVE CVE-2007-1917

https://www.cve.org/CVERecord?id=CVE-2007-1917

Référence CVE CVE-2007-1918

https://www.cve.org/CVERecord?id=CVE-2007-1918

Référence CVE CVE-2007-3495

https://www.cve.org/CVERecord?id=CVE-2007-3495

Référence CVE CVE-2007-3496

https://www.cve.org/CVERecord?id=CVE-2007-3496

Référence	CERTA-2007-AVI-288
Titre	Multiples vulnérabilités dans les produits SAP
Date de la première version	10 juillet 2007
Date de la dernière version	10 juillet 2007
Source(s)
Pièce(s) jointe(s)	Aucune(s)

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits SAP

Gestion du document

Risques

Systèmes affectés

Description

Solution

Documentation

Gestion détaillée du document