S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 13 avril 2021
N° CERTFR-2021-AVI-251
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits SAP

Gestion du document

Référence CERTFR-2021-AVI-251
Titre Multiples vulnérabilités dans les produits SAP
Date de la première version13 avril 2021
Date de la dernière version13 avril 2021
Source(s) Bulletin de sécurité SAP 573801649 du 13 avril 2021
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Déni de service
  • Exécution de code arbitraire à distance
  • Injection de code indirecte à distance (XSS)
  • Non spécifié par l'éditeur

Systèmes affectés

  • SAP Commerce versions 1808, 1811, 1905, 2005 et 2011
  • SAP Fiori Apps 2.0 for Travel Management in SAP ERP version 608
  • SAP Focused RUN versions 200 et 300
  • SAP Manufacturing Execution (System Rules) versions 15.1, 15.2, 15.3 et 15.4
  • SAP NetWeaver AS for ABAP versions 731, 740 et 750
  • SAP NetWeaver AS for Java (Applications based on HTMLB for Java) versions EP-BASIS 7.10, 7.11, 7.30, 7.31, 7.40 et 7.50
  • SAP NetWeaver AS for Java (Applications based on HTMLB for Java) versions FRAMEWORK 7.10 et 7.11
  • SAP NetWeaver AS for Java (Applications based on HTMLB for Java) versions FRAMEWORK-EXT 7.30, 7.31, 7.40 et 7.50
  • SAP NetWeaver AS for JAVA (Customer Usage Provisioning Servlet) versions 7.31, 7.40 et 7.50
  • SAP NetWeaver AS for JAVA (HTTP Service) versions 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 et 7.50
  • SAP NetWeaver AS for JAVA (Telnet Commands) versions ENGINEAPI 7.30, 7.31, 7.40 et 7.50
  • SAP NetWeaver AS for JAVA (Telnet Commands) versions ESP_FRAMEWORK 7.10, 7.20, 7.30, 7.31, 7.40 et 7.50,
  • SAP NetWeaver AS for JAVA (Telnet Commands) versions J2EE-FRMW 7.10, 7.20, 7.30, 7.31, 7.40 et 7.50
  • SAP NetWeaver AS for JAVA (Telnet Commands) versions SERVERCORE 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 et 7.50,
  • SAP NetWeaver Master Data Management versions 710 et 710.750
  • SAP Process Integration (Enterprise Service Repository JAVA Mappings) versions 7.10, 7.20, 7.30, 7.31, 7.40 et 7.50
  • SAP Process Integration (Integration Builder Framework) versions 7.10, 7.30, 7.31, 7.40 et 7.50
  • SAP Setup version 9.0
  • SAP Solution Manager version 7.20

Résumé

De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l'éditeur, une exécution de code arbitraire à distance et un déni de service.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 13 avril 2021
    Version initiale