Accueil > Alertes CERT-MC > AVIS CERTFR - 2020 - AVI - 140

AVIS CERTFR - 2020 - AVI - 140

Objet : Multiples vulnérabilités dans les produits SAP

Référence : CERTFR-2020-AVI-140

Risque(s)

- Exécution de code arbitraire à distance
- Déni de service à distance
- Contournement de la politique de sécurité
- Injection de code indirecte à distance (XSS)
- Injection de requêtes illégitimes par rebond (CSRF)

Systèmes affectés

- SAP Solution Manager (User Experience Monitoring) version 7.2
- SAP Solution Manager (Diagnostics Agent) version 7.2
- SAP Business Client version 6.5
- SAP NetWeaver UDDI Server (Services Registry) versions 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 et 7.50
- SAP Business Objects Business Intelligence Platform (Crystal Reports) versions 4.1 et 4.2
- SAP Disclosure Management  version 10.1
- SAP BusinessObjects Mobile (MobileBIService) version 4.2
- SAP MaxDB (liveCache) versions 7.8 et 7.9
- SAP Commerce Cloud (Testweb Extension) versions 6.6, 6.7, 1808, 1811 et 1905
- SAP NetWeaver AS ABAP Business Server Pages (Smart Forms) - SAP_BASIS versions 7.00, 7.01, 7.02, 7.10, 7.11, 7.30, 7.31, 7.40, 7.50, 7.51, 7.52,
- .53 et 7.54
- SAP NetWeaver Application Server Java (User Management Engine) versions 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 et 7.50
- SAP Commerce Cloud (SmartEdit Extension) versions - 6.6, 6.7, 1808 et 1811
- SAP ERP (EAPPGLO) version 607
- SAP Enable Now versions antérieures à 1911
- SAP Fiori Launchpad versions 753 et 754
- SAP Cloud Platform Integration for Data Services version 1.0
- SAP Treasury and Risk Management (Transaction Management) versions EA-FINSERV 600, 603, 604, 605, 606, 616, 617, 618, 800, S4CORE 101, 102, 103 et 104
- SAP Enable Now versions antérieures à 1908

Résumé

De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité SAP du 10 mars 2020
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=540935305  
- Référence CVE CVE-2020-6207
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6207  
- Référence CVE CVE-2020-6198
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6198  
- Référence CVE CVE-2020-6203
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6203  
- Référence CVE CVE-2020-6208
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6208  
- Référence CVE CVE-2020-6209
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6209  
- Référence CVE CVE-2020-6196
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6196  
- Référence CVE CVE-2018-2450
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2450  
- Référence CVE CVE-2020-6201
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6201  
- Référence CVE CVE-2020-6205
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6205  
- Référence CVE CVE-2020-6202
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6202  
- Référence CVE CVE-2020-6200
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6200  
- Référence CVE CVE-2020-6199
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6199  
- Référence CVE CVE-2020-6178
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6178  
- Référence CVE CVE-2020-6210
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6210  
- Référence CVE CVE-2020-6206
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6206  
- Référence CVE CVE-2020-6204
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6204  
- Référence CVE CVE-2020-6197
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6197  

Dernière version de ce document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-140/  

 

 

AVIS CERTFR - 2020 - AVI - 185

03 avril 2020
actualite

Objet : Vulnérabilité dans HAProxyRéférence : CERTFR-2020-AVI-185Risque(s)- Exécution de code arbitraire à distanceSystèmes affectés - Red Hat Ente... Lire la suite[+]

AVIS CERTFR - 2020 - AVI - 184

02 avril 2020
actualite

Objet : Multiples vulnérabilités dans Google Chrome OSRéférence : CERTFR-2020-AVI-184Risque(s)- Non spécifié par l'éditeurSystèmes affectés- Google... Lire la suite[+]

Contact

Agence Monégasque de Sécurité Numérique
24 rue du Gabian 
98000 MONACO

AMSN_contact@gouv.mc

Téléphone : (+377) 98 98 24 93
Bouton Alertes CSIRT-MC OIV
//amsn.gouv.mc/Alertes-CERT-MC/AVIS-CERTFR-2020-AVI-140