Un site officiel de la Principauté de Monaco

Découvrir l'AMSN

Présentation

Organisation

Rapports d'activité

Stratégie nationale

Contact

Recrutement

S'informer sur la réglementation

Services de Confiance

Opérateur d'Importance Vitale (OIV)

Matériels et Logiciels soumis à autorisation

Sécurité Nationale

Données de santé

Services de Confiance

Schéma de confiance

Liste de confiance

Prestataires de service de confiance

Produits et services qualifiés

Services qualifiés

Produits qualifiés

AVIS CERTFR - 2020 - AVI - 549

AVIS CERT

CERT-FR

Publié le 8 septembre 2020 à 19h47

Objet : Multiples vulnérabilités dans les produits SAP

Référence : CERTFR-2020-AVI-549

Risque(s)

- Non spécifié par l'éditeur
- Exécution de code arbitraire à distance
- Contournement de la politique de sécurité
- Atteinte à la confidentialité des données
- Injection de code indirecte à distance (XSS)

Systèmes affectés

- SAP Solution Manager (User Experience Monitoring) version 7.2
- SAP Business Client version 6.5
- SAP Marketing (Mobile Channel Servlet) versions 130, 140 et 150
- SAP NetWeaver (ABAP Server) et ABAP Platform versions 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753, 754 et 755
- SAP NetWeaver (ABAP Server) et ABAP Platform versions 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 753 et 755
- SAP Netweaver AS ABAP versions 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753 et 754
- BANKING SERVICES FROM SAP 9.0 (Bank Analyzer) version 500
- S/4HANA FIN PROD SUBLDGR version 100
- SAP Commerce versions 6.7, 1808, 1811, 1905 et 2005
- SAP NetWeaver AS ABAP (BSP Test Application) versions 700,701,702,730,731,740,750,751,752,753,754 et 755
- SAPUI5 (UISAPUI5_JAVA) version 7.50
- SAPUI5 (SAP_UI) versions 750, 751, 752, 753, 754 et 755
- SAPUI5 (UI_700) version 200
- SAP NetWeaver AS JAVA (IIOP service) (SERVERCORE) versions 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 et 7.50
- SAP NetWeaver AS JAVA (IIOP service) (CORE-TOOLS) versions 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 et 7.50
- SAP NetWeaver (Knowledge Management) versions 7.30,7.31,7.40 et 7.50
- SAP Business Objects Business Intelligence Platform (BI Workspace) versions 4.1 et 4.2
- SAPFiori (Launchpad) versions 750, 752, 753, 754 et 755
- SAP 3D Visual Enterprise Viewer version 9
- SAP Adaptive Server Enterprise versions 15.7 et 16.0

Résumé

De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l'éditeur, une exécution de code arbitraire à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité SAP du 08 septembre 2020

https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=557449700

- Référence CVE CVE-2020-6207

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6207

- Référence CVE CVE-2020-6320

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6320

- Référence CVE CVE-2020-6318

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6318

- Référence CVE CVE-2020-6296

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6296

- Référence CVE CVE-2020-6275

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6275

- Référence CVE CVE-2020-6311

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6311

- Référence CVE CVE-2020-6302

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6302

- Référence CVE CVE-2020-6324

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6324

- Référence CVE CVE-2020-11022

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11022

- Référence CVE CVE-2020-11023

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11023

- Référence CVE CVE-2020-6282

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6282

- Référence CVE CVE-2020-6326

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6326

- Référence CVE CVE-2020-6313

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6313

- Référence CVE CVE-2020-6325

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6325

- Référence CVE CVE-2020-6312

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6312

- Référence CVE CVE-2020-6288

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6288

- Référence CVE CVE-2020-6283

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6283

- Référence CVE CVE-2020-6322

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6322

- Référence CVE CVE-2020-6327

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6327

- Référence CVE CVE-2020-6330

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6330

- Référence CVE CVE-2020-6333

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6333

- Référence CVE CVE-2020-6346

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6346

- Référence CVE CVE-2020-6350

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6350

- Référence CVE CVE-2020-6339

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6339

- Référence CVE CVE-2020-6356

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6356

- Référence CVE CVE-2020-6360

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6360

- Référence CVE CVE-2020-6361

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6361

- Référence CVE CVE-2020-6328

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6328

- Référence CVE CVE-2020-6341

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6341

- Référence CVE CVE-2020-6343

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6343

- Référence CVE CVE-2020-6351

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6351

- Référence CVE CVE-2020-6352

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6352

- Référence CVE CVE-2020-6358

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6358

- Référence CVE CVE-2020-6348

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6348

- Référence CVE CVE-2020-6349

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6349

- Référence CVE CVE-2020-6347

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6347

- Référence CVE CVE-2020-6337

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6337

- Référence CVE CVE-2020-6331

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6331

- Référence CVE CVE-2020-6332

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6332

- Référence CVE CVE-2020-6335

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6335

- Référence CVE CVE-2020-6314

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6314

- Référence CVE CVE-2020-6359

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6359

- Référence CVE CVE-2020-6344

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6344

- Référence CVE CVE-2020-6340

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6340

- Référence CVE CVE-2020-6336

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6336

- Référence CVE CVE-2020-6338

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6338

- Référence CVE CVE-2020-6334

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6334

- Référence CVE CVE-2020-6353

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6353

- Référence CVE CVE-2020-6329

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6329

- Référence CVE CVE-2020-6354

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6354

- Référence CVE CVE-2020-6345

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6345

- Référence CVE CVE-2020-6355

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6355

- Référence CVE CVE-2020-6342

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6342

- Référence CVE CVE-2020-6321

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6321

- Référence CVE CVE-2020-6357

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6357

- Référence CVE CVE-2020-6317

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6317

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-549/