S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 08 septembre 2020
N° CERTFR-2020-AVI-549
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits SAP

Gestion du document

Référence CERTFR-2020-AVI-549
Titre Multiples vulnérabilités dans les produits SAP
Date de la première version08 septembre 2020
Date de la dernière version08 septembre 2020
Source(s) Bulletin de sécurité SAP du 08 septembre 2020
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Exécution de code arbitraire à distance
  • Injection de code indirecte à distance (XSS)
  • Non spécifié par l'éditeur

Systèmes affectés

  • BANKING SERVICES FROM SAP 9.0 (Bank Analyzer) version 500
  • S/4HANA FIN PROD SUBLDGR version 100
  • SAP 3D Visual Enterprise Viewer version 9
  • SAP Adaptive Server Enterprise versions 15.7 et 16.0
  • SAP Business Client version 6.5
  • SAP Business Objects Business Intelligence Platform (BI Workspace) versions 4.1 et 4.2
  • SAP Commerce versions 6.7, 1808, 1811, 1905 et 2005
  • SAP Marketing (Mobile Channel Servlet) versions 130, 140 et 150
  • SAP NetWeaver (ABAP Server) et ABAP Platform versions 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753, 754 et 755
  • SAP NetWeaver (ABAP Server) et ABAP Platform versions 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 753 et 755
  • SAP NetWeaver (Knowledge Management) versions 7.30,7.31,7.40 et 7.50
  • SAP NetWeaver AS ABAP (BSP Test Application) versions 700,701,702,730,731,740,750,751,752,753,754 et 755
  • SAP Netweaver AS ABAP versions 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753 et 754
  • SAP NetWeaver AS JAVA (IIOP service) (CORE-TOOLS) versions 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 et 7.50
  • SAP NetWeaver AS JAVA (IIOP service) (SERVERCORE) versions 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 et 7.50
  • SAP Solution Manager (User Experience Monitoring) version 7.2
  • SAPFiori (Launchpad) versions 750, 752, 753, 754 et 755
  • SAPUI5 (SAP_UI) versions 750, 751, 752, 753, 754 et 755
  • SAPUI5 (UI_700) version 200
  • SAPUI5 (UISAPUI5_JAVA) version 7.50

Résumé

De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l'éditeur, une exécution de code arbitraire à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 08 septembre 2020
    Version initiale