Un site officiel de la Principauté de Monaco

Découvrir l'AMSN

Présentation

Organisation

Rapports d'activité

Stratégie nationale

Contact

Recrutements

S'informer sur la réglementation

Services de Confiance

Opérateur d'Importance Vitale (OIV)

Matériels et Logiciels soumis à autorisation

Sécurité Nationale

Données de santé

Services de Confiance

Schéma de confiance

Liste de confiance

Prestataires de service de confiance

Produits et services qualifiés

Services qualifiés

Produits qualifiés, certifiés

AVIS CERTFR - 2021 - AVI - 017

AVIS CERT

CERT-FR

Publié le 12 janvier 2021 à 18h15

Objet : Multiples vulnérabilités dans les produits SAP

Référence : CERTFR-2021-AVI-017

Risque(s)

- Exécution de code arbitraire à distance
- Déni de service à distance
- Contournement de la politique de sécurité
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Élévation de privilèges
- Injection de code indirecte à distance (XSS)

Systèmes affectés

- SAP Business Client versions antérieures à 6.5
- SAP Business Warehouse versions antérieures à 710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755 et 782
- SAP Business Warehouse versions antérieures à 700, 701, 702, 711, 730, 731, 740, 750 et 782
- SAP BW4HANA versions antérieures à 100 et 200
- SAP Business Warehouse versions antérieures à 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755 et 782
- SAP BW4HANA versions antérieures à 100 et 200
- SAP NetWeaver AS JAVA versions antérieures à 7.20, 7.30, 7.31, 7.40 et 7.50
- SAP NetWeaver AS ABAP versions antérieures à 740, 750, 751, 752, 753, 754 et 755
- Automated Note Search Tool (SAP Basis) versions antérieures à 7.0, 7.01,7.02, 7.31, 7.4, 7.5, 7.51, 7.52, 7.53 et 7.54
- SAP NetWeaver AS Java (HTTP Service) versions antérieures à 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 et 7.50
- SAP Commerce Cloud versions antérieures à 1808, 1811, 1905, 2005 et 2011
- SAP BusinessObjects Business Intelligence platform (Web Intelligence HTML interface) versions antérieures à 410 et 420
- SAP Master Data Governance versions antérieures à 748, 749, 750, 751, 752, 800, 801, 802, 803 et 804
- SAP NetWeaver AS JAVA (Key Storage Service) versions antérieures à 7.10, 7.11, 7.20 ,7.30, 7.31, 7.40 et 7.50
- SAP GUI FOR WINDOWS versions antérieures à 7.60
- SAP NetWeaver Master Data Management versions antérieures à 7.10, 7.10.750 et 710
- SAP 3D Visual Enterprise Viewer versions antérieures à 9.0
- SAP Banking Services (Generic Market Data) versions antérieures à 400, 450 et 500
- SAP EPM ADD-IN versions antérieures à 2.8 et 1010

Résumé

De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité SAP du 12 janvier 2021

https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=564760476

- Référence CVE CVE-2021-21465

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21465

- Référence CVE CVE-2021-21468

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21468

- Référence CVE CVE-2021-21466

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21466

- Référence CVE CVE-2020-26838

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26838

- Référence CVE CVE-2020-26820

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26820

- Référence CVE CVE-2021-21446

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21446

- Référence CVE CVE-2020-6307

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6307

- Référence CVE CVE-2020-6224

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6224

- Référence CVE CVE-2021-21445

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21445

- Référence CVE CVE-2021-21447

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21447

- Référence CVE CVE-2020-6256

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6256

- Référence CVE CVE-2020-26816

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26816

- Référence CVE CVE-2021-21448

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21448

- Référence CVE CVE-2021-21469

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21469

- Référence CVE CVE-2021-21449

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21449

- Référence CVE CVE-2021-21457

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21457

- Référence CVE CVE-2021-21458

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21458

- Référence CVE CVE-2021-21459

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21459

- Référence CVE CVE-2021-21450

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21450

- Référence CVE CVE-2021-21451

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21451

- Référence CVE CVE-2021-21452

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21452

- Référence CVE CVE-2021-21453

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21453

- Référence CVE CVE-2021-21454

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21454

- Référence CVE CVE-2021-21455

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21455

- Référence CVE CVE-2021-21456

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21456

- Référence CVE CVE-2021-21460

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21460

- Référence CVE CVE-2021-21461

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21461

- Référence CVE CVE-2021-21462

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21462

- Référence CVE CVE-2021-21463

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21463

- Référence CVE CVE-2021-21464

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21464

- Référence CVE CVE-2021-21467

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21467

- Référence CVE CVE-2021-21470

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21470

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-017/