Risques

  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Injection de code indirecte à distance (XSS)

Systèmes affectés

  • SAP Business Client version 6.5
  • SAP Business Objects Business Intelligence Platform (BI Launchpad, bipodata, CMC, Web Intelligence HTML Interface) versions 4.1, 4.2
  • SAP Disclosure Management, version 1.0
  • SAP NetWeaver (ABAP Server) et plate-formes ABAP versions 731, 740, 750
  • SAP NetWeaver (XML Toolkit for JAVA) ENGINEAPI versions 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50
  • SAP NetWeaver AS JAVA (IIOP service) (CORE-TOOLS) versions 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50
  • SAP NetWeaver AS JAVA (LM Configuration Wizard) versions 7.30, 7.31, 7.40, 7.50

Résumé

De multiples vulnérabilités ont été découvertes dans SAP . Certaines d'entre elles permettent à un attaquant de provoquer un contournement de la politique de sécurité, une atteinte à l'intégrité des données et une atteinte à la confidentialité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation