Risques
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Exécution de code arbitraire à distance
- Non spécifié par l'éditeur
Systèmes affectés
- SAP Business Client version 6.5 et ultérieures sans le dernier correctif
- SAP Business Objects Business Intelligence (CMC and BI Launchpad) versions 410, 420 et 430 sans le dernier correctif
- SAP Commerce versions 1808, 1811, 1905, 2005 et 2011 sans le dernier correctif
- SAP HANA Database versions 1.0 et 2.0 sans le dernier correctif
- SAP NetWeaver Master Data Management Server versions 710 et 710.750 sans le dernier correctif
- SAP Software Provisioning Manager 1.0 (SAP NetWeaver Master Data Management Server 7.1) version 1.0 sans le dernier correctif
- SAP UI5 versions 1.38.49, 1.52.49, 1.60.34, 1.71.31, 1.78.18, 1.84.5, 1.85.4 et 1.86.1 sans le dernier correctif
- SAP Web Dynpro ABAP sans le dernier correctif
Résumé
De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer une atteinte à la confidentialité des données, une exécution de code arbitraire à distance et un contournement de la politique de sécurité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité SAP du 09 février 2021 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=568460543
- Référence CVE CVE-2021-21444 https://www.cve.org/CVERecord?id=CVE-2021-21444
- Référence CVE CVE-2021-21472 https://www.cve.org/CVERecord?id=CVE-2021-21472
- Référence CVE CVE-2021-21474 https://www.cve.org/CVERecord?id=CVE-2021-21474
- Référence CVE CVE-2021-21475 https://www.cve.org/CVERecord?id=CVE-2021-21475
- Référence CVE CVE-2021-21476 https://www.cve.org/CVERecord?id=CVE-2021-21476
- Référence CVE CVE-2021-21477 https://www.cve.org/CVERecord?id=CVE-2021-21477
- Référence CVE CVE-2021-21478 https://www.cve.org/CVERecord?id=CVE-2021-21478
