Accueil > Alertes CERT-MC > AVIS CERTFR - 2021 - AVI - 440

AVIS CERTFR - 2021 - AVI - 440

Objet : Multiples vulnérabilités dans les produits SAP

Référence : CERTFR-2021-AVI-440

Risque(s)

- Exécution de code arbitraire à distance
- Contournement de la politique de sécurité
- Élévation de privilèges
- Injection de code indirecte à distance (XSS)

Systèmes affectés

- SAP Commerce versions 1808, 1811, 1905, 2005 et 2011
- SAP NetWeaver AS ABAP and ABAP Platform versions 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755 et 804
- SAP NetWeaver AS for JAVA versions 7.20, 7.30, 7.31, 7.40 et 7.50
- SAP NetWeaver AS for ABAP (RFC Gateway) versions KRNL32NUC - 7.22, 7.22EXT, KRNL64NUC - 7.22, 7.22EXT, 7.49, KRNL64UC - 8.04, 7.22, 7.22EXT, 7.49, 7.53, 7.73, KERNEL - 7.22, 8.04, 7.49, 7.53, 7.73, 7.77, 7.81, 7.82 et 7.83
- SAP NetWeaver ABAP Server et ABAP Platform (Enqueue Server) versions KRNL32NUC - 7.22, 7.22EXT, KRNL64NUC - 7.22, 7.22EXT, 7.49, KRNL64UC - 8.04, 7.22, 7.22EXT, 7.49, 7.53, 7.73, KERNEL - 7.22, 8.04, 7.49, 7.53 et 7.73
- SAP NetWeaver ABAP Server et ABAP Platform (Dispatcher) versions KRNL32NUC - 7.22, 7.22EXT, KRNL32UC - 7.22, 7.22EXT, KRNL64NUC - 7.22, 7.22EXT, 7.49, KRNL64UC - 8.04, 7.22, 7.22EXT, 7.49, 7.53, 7.73, KERNEL - 7.22, 8.04, 7.49, 7.53, 7.73, 7.77, 7.81, 7.82 et 7.83
- SAP Business One version 10.0
- SAP Manufacturing Execution versions 15.1, 1.5.2, 15.3 et 15.4
- SAP NetWeaver AS ABAP et ABAP Platform (SRM_RFC_SUBMIT_REPORT) versions 700, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753, 754 et 755
- SAP NetWeaver AS for ABAP (Web Survey) versions 700, 702, 710, 711, 730, 731, 750, 750, 752, 75A et 75F
- SAP NetWeaver AS (Internet Graphics Server – Portwatcher) versions 7.20, 7.20EXT, 7.53, 7.20_EX2 et 7.81
- SAP Enable Now (SAP Workforce Performance Builder - Manager) versions 10.0 et 1.0
- SAP NetWeaver AS ABAP versions KRNL32NUC - 7.22, 7.22EXT, KRNL32UC - 7.22, 7.22EXT, KRNL64NUC - 7.22, 7.22EXT, 7.49, KRNL64UC - 8.04, 7.22, 7.22EXT, 7.49, 7.53, 7.73, KERNEL - 7.22, 8.04, 7.49, 7.53, 7.73, 7.77, 7.81, 7.82, 7.83 et 7.84
- SAP NetWeaver AS for Java (UserAdmin) versions 7.11,7.20,7.30,7.31,7.40 et 7.50
- SAP NetWeaver Application Server ABAP (Applications based on Web Dynpro ABAP) versions SAP_UI – 750, 752, 753, 754, 755, SAP_BASIS – 702, 31
- SAP NetWeaver Application Server ABAP (Applications based on SAP GUI for HTML) versions KRNL64NUC - 7.49, KRNL64UC - 7.49, 7.53, KERNEL - 7.49, 7.53, 7.77, 7.81 et 7.84
- SAP Commerce Cloud version 100
- SAP 3D Visual Enterprise Viewer version 9
- SAP Fiori Apps 2.0 for Travel Management in SAP ERP version 608

Résumé

De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un contournement de la politique de sécurité et une élévation de privilèges.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité SAP du 08 juin 2021
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=578125999
- Référence CVE CVE-2021-27602
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27602
- Référence CVE CVE-2021-27610
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27610
- Référence CVE CVE-2021-27635
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27635
- Référence CVE CVE-2021-27606
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27606
- Référence CVE CVE-2021-27629
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27629
- Référence CVE CVE-2021-27630
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27630
- Référence CVE CVE-2021-27631
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27631
- Référence CVE CVE-2021-27632
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27632
- Référence CVE CVE-2021-27597
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27597
- Référence CVE CVE-2021-27633
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27633
- Référence CVE CVE-2021-27634
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27634
- Référence CVE CVE-2021-27607
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27607
- Référence CVE CVE-2021-27628
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27628
- Référence CVE CVE-2021-33662
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33662
- Référence CVE CVE-2021-27615
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27615
- Référence CVE CVE-2021-21473
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21473
- Référence CVE CVE-2021-21490
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21490
- Référence CVE CVE-2021-27620
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27620
- Référence CVE CVE-2021-27622
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27622
- Référence CVE CVE-2021-27623
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27623
- Référence CVE CVE-2021-27624
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27624
- Référence CVE CVE-2021-27625
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27625
- Référence CVE CVE-2021-27626
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27626
- Référence CVE CVE-2021-27627
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27627
- Référence CVE CVE-2021-27637
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27637
- Référence CVE CVE-2021-33663
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33663
- Référence CVE CVE-2021-27621
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27621
- Référence CVE CVE-2021-33664
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33664
- Référence CVE CVE-2021-33665
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33665
- Référence CVE CVE-2021-33666
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33666
- Référence CVE CVE-2021-27638
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27638
- Référence CVE CVE-2021-27639
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27639
- Référence CVE CVE-2021-27640
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27640
- Référence CVE CVE-2021-33659
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33659
- Référence CVE CVE-2021-27642
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27642
- Référence CVE CVE-2021-33661
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33661
- Référence CVE CVE-2021-27641
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27641
- Référence CVE CVE-2021-27643
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27643
- Référence CVE CVE-2021-33660
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33660
- Référence CVE CVE-2021-27605
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27605

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-440/

AVIS CERTFR - 2021 - AVI - 461

14 juin 2021
actualite

Objet : Multiples vulnérabilités dans Microsoft EdgeRéférence : CERTFR-2021-AVI-461Risque(s)- Non spécifié par l'éditeurSystèmes affectés- Microsof... Lire la suite[+]

AVIS CERTFR - 2021 - AVI - 460

11 juin 2021
actualite

Objet : Multiples vulnérabilités dans Citrix HypervisorRéférence : CERTFR-2021-AVI-460Risque(s) - Exécution de code arbitraire à distance- Déni de... Lire la suite[+]

Contact

Agence Monégasque de Sécurité Numérique
24 rue du Gabian 
98000 MONACO

AMSN_contact@gouv.mc

Téléphone : (+377) 98 98 24 93
Bouton Alertes CSIRT-MC


       INFORMATIONS            PRATIQUES
Demande d'autorisation loi n°1.383
Conseils élémentaires
//amsn.gouv.mc/Alertes-CERT-MC/AVIS-CERTFR-2021-AVI-440