S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 08 juin 2021
N° CERTFR-2021-AVI-440
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits SAP

Gestion du document

Référence CERTFR-2021-AVI-440
Titre Multiples vulnérabilités dans les produits SAP
Date de la première version08 juin 2021
Date de la dernière version08 juin 2021
Source(s) Bulletin de sécurité SAP du 08 juin 2021
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Contournement de la politique de sécurité
  • Exécution de code arbitraire à distance
  • Injection de code indirecte à distance (XSS)
  • Élévation de privilèges

Systèmes affectés

  • SAP 3D Visual Enterprise Viewer version 9
  • SAP Business One version 10.0
  • SAP Commerce Cloud version 100
  • SAP Commerce versions 1808, 1811, 1905, 2005 et 2011
  • SAP Enable Now (SAP Workforce Performance Builder - Manager) versions 10.0 et 1.0
  • SAP Fiori Apps 2.0 for Travel Management in SAP ERP version 608
  • SAP Manufacturing Execution versions 15.1, 1.5.2, 15.3 et 15.4
  • SAP NetWeaver ABAP Server et ABAP Platform (Dispatcher) versions KRNL32NUC - 7.22, 7.22EXT, KRNL32UC - 7.22, 7.22EXT, KRNL64NUC - 7.22, 7.22EXT, 7.49, KRNL64UC - 8.04, 7.22, 7.22EXT, 7.49, 7.53, 7.73, KERNEL - 7.22, 8.04, 7.49, 7.53, 7.73, 7.77, 7.81, 7.82 et 7.83
  • SAP NetWeaver ABAP Server et ABAP Platform (Enqueue Server) versions KRNL32NUC - 7.22, 7.22EXT, KRNL64NUC - 7.22, 7.22EXT, 7.49, KRNL64UC - 8.04, 7.22, 7.22EXT, 7.49, 7.53, 7.73, KERNEL - 7.22, 8.04, 7.49, 7.53 et 7.73
  • SAP NetWeaver Application Server ABAP (Applications based on SAP GUI for HTML) versions KRNL64NUC - 7.49, KRNL64UC - 7.49, 7.53, KERNEL - 7.49, 7.53, 7.77, 7.81 et 7.84
  • SAP NetWeaver Application Server ABAP (Applications based on Web Dynpro ABAP) versions SAP_UI – 750, 752, 753, 754, 755, SAP_BASIS – 702, 31
  • SAP NetWeaver AS (Internet Graphics Server – Portwatcher) versions 7.20, 7.20EXT, 7.53, 7.20_EX2 et 7.81
  • SAP NetWeaver AS ABAP and ABAP Platform versions 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755 et 804
  • SAP NetWeaver AS ABAP et ABAP Platform (SRM_RFC_SUBMIT_REPORT) versions 700, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753, 754 et 755
  • SAP NetWeaver AS ABAP versions KRNL32NUC - 7.22, 7.22EXT, KRNL32UC - 7.22, 7.22EXT, KRNL64NUC - 7.22, 7.22EXT, 7.49, KRNL64UC - 8.04, 7.22, 7.22EXT, 7.49, 7.53, 7.73, KERNEL - 7.22, 8.04, 7.49, 7.53, 7.73, 7.77, 7.81, 7.82, 7.83 et 7.84
  • SAP NetWeaver AS for ABAP (RFC Gateway) versions KRNL32NUC - 7.22, 7.22EXT, KRNL64NUC - 7.22, 7.22EXT, 7.49, KRNL64UC - 8.04, 7.22, 7.22EXT, 7.49, 7.53, 7.73, KERNEL - 7.22, 8.04, 7.49, 7.53, 7.73, 7.77, 7.81, 7.82 et 7.83
  • SAP NetWeaver AS for ABAP (Web Survey) versions 700, 702, 710, 711, 730, 731, 750, 750, 752, 75A et 75F
  • SAP NetWeaver AS for Java (UserAdmin) versions 7.11,7.20,7.30,7.31,7.40 et 7.50
  • SAP NetWeaver AS for JAVA versions 7.20, 7.30, 7.31, 7.40 et 7.50

Résumé

De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un contournement de la politique de sécurité et une élévation de privilèges.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 08 juin 2021
    Version initiale