Accueil > Alertes CERT-MC > AVIS CERTFR - 2021 - AVI - 702

AVIS CERTFR - 2021 - AVI - 702

Objet : Multiples vulnérabilités dans les produits SAP

Référence : CERTFR-2021-AVI-702

Risque(s)

- Exécution de code arbitraire à distance
- Déni de service à distance
- Contournement de la politique de sécurité
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Injection de code indirecte à distance (XSS)

Systèmes affectés

- SAP Business Client, Version – 6.5
- SAP NetWeaver Application Server Java (JMS Connector Service) , Versions - 7.11, 7.20, 7.30, 7.31, 7.40, 7.50
- SAP Business One, Versions - 10.0
- SAP S/4HANA, Versions - 1511, 1610, 1709, 1809, 1909, 2020, 2021
- SAP LT Replication Server, Versions - 2.0, 3.0
- SAP LTRS for S/4HANA, Version - 1.0
- SAP Test Data Migration Server, Version - 4.0
- SAP Landscape Transformation, Version - 2.0
- SAP NetWeaver (Visual Composer 7.0 RT) , Versions - 7.30, 7.31, 7.40, 7.50
- SAP NetWeaver Knowledge Management XML Forms , Versions - 7.10, 7.11, 7.30, 7.31, 7.40, 7.50
- SAP Contact Center, Version - 700
- SAP Web Dispatcher , Versions - WEBDISP - 7.49, 7.53, 7.77, 7.81, KRNL64NUC - 7.22, 7.22EXT, 7.49, KRNL64UC -7.22, 7.22EXT, 7.49, 7.53, KERNEL - 7.22, 7.49, 7.53, 7.77, 7.81, 7.83
- SAP CommonCryptoLib , Versions antérieures à 8.5.38
- SAP Analysis for Microsoft Office , Version - 2.8
- SAP Business Client , Versions - 7.0, 7.70
- SAP BusinessObjects Business Intelligence Platform (BI Workspace) , Version - 420
- SAP ERP Financial Accounting (RFOPENPOSTING_FR) , Versions - SAP_APPL - 600, 602, 603, 604, 605, 606, 616, SAP_FIN - 617, 618, 700, 720, 730, SAPSCORE - 125, S4CORE, 100, 101, 102, 103, 104, 105
- SAP NetWeaver Enterprise Portal, Versions - 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50
- SAP 3D Visual Enterprise Viewer, Version - 9.0

Résumé

De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité SAP 585106405 du 14 septembre 2021
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=585106405
- Référence CVE CVE-2021-37535
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37535
- Référence CVE CVE-2021-33698
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33698
- Référence CVE CVE-2021-38176
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-38176
- Référence CVE CVE-2021-38163
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-38163
- Référence CVE CVE-2021-37531
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37531
- Référence CVE CVE-2021-33672
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33672
- Référence CVE CVE-2021-33673
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33673
- Référence CVE CVE-2021-33674
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33674
- Référence CVE CVE-2021-33675
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33675
- Référence CVE CVE-2021-38162
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-38162
- Référence CVE CVE-2021-38177
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-38177
- Référence CVE CVE-2021-33685
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33685
- Référence CVE CVE-2021-38175
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-38175
- Référence CVE CVE-2021-38150
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-38150
- Référence CVE CVE-2021-33679
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33679
- Référence CVE CVE-2021-38164
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-38164
- Référence CVE CVE-2021-33686
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33686
- Référence CVE CVE-2021-21489
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21489
- Référence CVE CVE-2021-33688
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33688
- Référence CVE CVE-2021-37532
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37532
- Référence CVE CVE-2021-38174
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-38174

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-702/

AVIS CERTFR - 2021 - AVI - 819

25 octobre 2021
actualite

Objet : Multiples vulnérabilités dans les produits NextcloudRéférence : CERTFR-2021-AVI-819Risque(s) - Contournement de la politique de sécurité -... Lire la suite[+]

AVIS CERTFR - 2021 - AVI - 818

22 octobre 2021
actualite

Objet : Vulnérabilité dans Pulse Connect SecureRéférence : CERTFR-2021-AVI-818Risque(s)- Déni de service à distanceSystèmes affectés- Pulse Connect... Lire la suite[+]

Contact

Agence Monégasque de Sécurité Numérique
24 rue du Gabian 
98000 MONACO

AMSN_contact@gouv.mc

Téléphone : (+377) 98 98 24 93
Bouton Alertes CSIRT-MC


       INFORMATIONS            PRATIQUES
Demande d'autorisation loi n°1.383
Conseils élémentaires
//amsn.gouv.mc/Alertes-CERT-MC/AVIS-CERTFR-2021-AVI-702