Accueil > Alertes CERT-MC > AVIS CERTFR - 2020 - ALE - 017

AVIS CERTFR - 2020 - ALE - 017

Objet: Multiples vulnérabilités dans SAP Netweaver AS JAVA

Référence: CERTFR-2020-ALE-17

Risques(s)
Contournement de la politique de sécurité
Atteinte à l'intégrité des données
Atteinte à la confidentialité des données

Systèmes affectés
LM Configuration Wizard de SAP NetWeaver AS JAVA version 7.30
LM Configuration Wizard de SAP NetWeaver AS JAVA version 7.31
LM Configuration Wizard de SAP NetWeaver AS JAVA version 7.40
LM Configuration Wizard de SAP NetWeaver AS JAVA version 7.50

Résumé
De multiples vulnérabilités ont été découvertes dans le composant LM Configuration Wizard de SAP Netweaver AS JAVA. Un attaquant non authentifié peut contourner la politique de sécurité pour exécuter différentes actions d'administration. En particulier, l'attaquant est en mesure de créer un compte avec les droits administrateurs pour se maintenir sur le système.

Solution
L'exposition de Netweaver AS requiert l'application des correctifs sans délai. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Le CERT-FR recommande également d'appliquer les mesures de sécurisation des applications accessibles en nomadisme [1].

La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommander d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.

Documentation
Bulletin de sécurité SAP du 14 juillet 2020
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=552599675  
Bulletin CERT-FR CERTFR-2020-AVI-432 du 15 juillet 2020
https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-432/  

Référence CVE CVE-2020-6287
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6287  

Référence CVE CVE-2020-6286
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6286  
[1] Guide ANSSI sur le nomadisme numérique
https://www.ssi.gouv.fr/guide/recommandations-sur-le-nomadisme-numerique/  

Dernière version du document

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-017/

AVIS CERTFR - 2020 - AVI - 490

10 août 2020
actualite

Objet : Multiples vulnérabilités dans Apache ServerRéférence : CERTFR-2020-AVI-490Risque(s) - Déni de service à distance- Atteinte à la confidentia... Lire la suite[+]

AVIS CERTFR - 2020 - AVI - 489

10 août 2020
actualite

Objet : Multiples vulnérabilités dans le noyau Linux de SUSERéférence : CERTFR-2020-AVI-489Risque(s) - Non spécifié par l'éditeur - Déni de service... Lire la suite[+]

Contact

Agence Monégasque de Sécurité Numérique
24 rue du Gabian 
98000 MONACO

AMSN_contact@gouv.mc

Téléphone : (+377) 98 98 24 93
Bouton Alertes CSIRT-MC OIV
//amsn.gouv.mc/Alertes-CERT-MC/AVIS-CERTFR-2020-ALE-017