Risques
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Déni de service à distance
- Exécution de code arbitraire à distance
- Injection de code indirecte à distance (XSS)
- Élévation de privilèges
Systèmes affectés
- Automated Note Search Tool (SAP Basis) versions antérieures à 7.0, 7.01,7.02, 7.31, 7.4, 7.5, 7.51, 7.52, 7.53 et 7.54
- SAP 3D Visual Enterprise Viewer versions antérieures à 9.0
- SAP Banking Services (Generic Market Data) versions antérieures à 400, 450 et 500
- SAP Business Client versions antérieures à 6.5
- SAP Business Warehouse versions antérieures à 700, 701, 702, 711, 730, 731, 740, 750 et 782
- SAP Business Warehouse versions antérieures à 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755 et 782
- SAP Business Warehouse versions antérieures à 710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755 et 782
- SAP BusinessObjects Business Intelligence platform (Web Intelligence HTML interface) versions antérieures à 410 et 420
- SAP BW4HANA versions antérieures à 100 et 200
- SAP Commerce Cloud versions antérieures à 1808, 1811, 1905, 2005 et 2011
- SAP EPM ADD-IN versions antérieures à 2.8 et 1010
- SAP GUI FOR WINDOWS versions antérieures à 7.60
- SAP Master Data Governance versions antérieures à 748, 749, 750, 751, 752, 800, 801, 802, 803 et 804
- SAP NetWeaver AS ABAP versions antérieures à 740, 750, 751, 752, 753, 754 et 755
- SAP NetWeaver AS Java (HTTP Service) versions antérieures à 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 et 7.50
- SAP NetWeaver AS JAVA (Key Storage Service) versions antérieures à 7.10, 7.11, 7.20 ,7.30, 7.31, 7.40 et 7.50
- SAP NetWeaver AS JAVA versions antérieures à 7.20, 7.30, 7.31, 7.40 et 7.50
- SAP NetWeaver Master Data Management versions antérieures à 7.10, 7.10.750 et 710
Résumé
De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité SAP du 12 janvier 2021 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=564760476
- Référence CVE CVE-2020-26816 https://www.cve.org/CVERecord?id=CVE-2020-26816
- Référence CVE CVE-2020-26820 https://www.cve.org/CVERecord?id=CVE-2020-26820
- Référence CVE CVE-2020-26838 https://www.cve.org/CVERecord?id=CVE-2020-26838
- Référence CVE CVE-2020-6224 https://www.cve.org/CVERecord?id=CVE-2020-6224
- Référence CVE CVE-2020-6256 https://www.cve.org/CVERecord?id=CVE-2020-6256
- Référence CVE CVE-2020-6307 https://www.cve.org/CVERecord?id=CVE-2020-6307
- Référence CVE CVE-2021-21445 https://www.cve.org/CVERecord?id=CVE-2021-21445
- Référence CVE CVE-2021-21446 https://www.cve.org/CVERecord?id=CVE-2021-21446
- Référence CVE CVE-2021-21447 https://www.cve.org/CVERecord?id=CVE-2021-21447
- Référence CVE CVE-2021-21448 https://www.cve.org/CVERecord?id=CVE-2021-21448
- Référence CVE CVE-2021-21449 https://www.cve.org/CVERecord?id=CVE-2021-21449
- Référence CVE CVE-2021-21450 https://www.cve.org/CVERecord?id=CVE-2021-21450
- Référence CVE CVE-2021-21451 https://www.cve.org/CVERecord?id=CVE-2021-21451
- Référence CVE CVE-2021-21452 https://www.cve.org/CVERecord?id=CVE-2021-21452
- Référence CVE CVE-2021-21453 https://www.cve.org/CVERecord?id=CVE-2021-21453
- Référence CVE CVE-2021-21454 https://www.cve.org/CVERecord?id=CVE-2021-21454
- Référence CVE CVE-2021-21455 https://www.cve.org/CVERecord?id=CVE-2021-21455
- Référence CVE CVE-2021-21456 https://www.cve.org/CVERecord?id=CVE-2021-21456
- Référence CVE CVE-2021-21457 https://www.cve.org/CVERecord?id=CVE-2021-21457
- Référence CVE CVE-2021-21458 https://www.cve.org/CVERecord?id=CVE-2021-21458
- Référence CVE CVE-2021-21459 https://www.cve.org/CVERecord?id=CVE-2021-21459
- Référence CVE CVE-2021-21460 https://www.cve.org/CVERecord?id=CVE-2021-21460
- Référence CVE CVE-2021-21461 https://www.cve.org/CVERecord?id=CVE-2021-21461
- Référence CVE CVE-2021-21462 https://www.cve.org/CVERecord?id=CVE-2021-21462
- Référence CVE CVE-2021-21463 https://www.cve.org/CVERecord?id=CVE-2021-21463
- Référence CVE CVE-2021-21464 https://www.cve.org/CVERecord?id=CVE-2021-21464
- Référence CVE CVE-2021-21465 https://www.cve.org/CVERecord?id=CVE-2021-21465
- Référence CVE CVE-2021-21466 https://www.cve.org/CVERecord?id=CVE-2021-21466
- Référence CVE CVE-2021-21467 https://www.cve.org/CVERecord?id=CVE-2021-21467
- Référence CVE CVE-2021-21468 https://www.cve.org/CVERecord?id=CVE-2021-21468
- Référence CVE CVE-2021-21469 https://www.cve.org/CVERecord?id=CVE-2021-21469
- Référence CVE CVE-2021-21470 https://www.cve.org/CVERecord?id=CVE-2021-21470
