AVIS CERTFR - 2021 - AVI - 092

AVIS CERT
CERT-FR

Publié le 9 février 2021 à 17h59

Objet : Multiples vulnérabilités dans les produits SAP

Référence : CERTFR-2021-AVI-092

Risque(s)

- Non spécifié par l'éditeur
- Exécution de code arbitraire à distance
- Contournement de la politique de sécurité
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données

Systèmes affectés

- SAP Business Client version 6.5 et ultérieures sans le dernier correctif
- SAP Commerce versions 1808, 1811, 1905, 2005 et 2011 sans le dernier correctif
- SAP Software Provisioning Manager 1.0 (SAP NetWeaver Master Data Management Server 7.1) version 1.0 sans le dernier correctif
- SAP Business Objects Business Intelligence (CMC and BI Launchpad) versions 410, 420 et 430 sans le dernier correctif
- SAP UI5 versions 1.38.49, 1.52.49, 1.60.34, 1.71.31, 1.78.18, 1.84.5, 1.85.4 et 1.86.1 sans le dernier correctif
- SAP Web Dynpro ABAP sans le dernier correctif
- SAP HANA Database versions 1.0 et 2.0 sans le dernier correctif
- SAP NetWeaver Master Data Management Server versions 710 et 710.750 sans le dernier correctif

Résumé

De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer une atteinte à la confidentialité des données, une exécution de code arbitraire à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité SAP du 09 février 2021

https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=568460543

- Référence CVE CVE-2021-21477

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21477

- Référence CVE CVE-2021-21472

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21472

- Référence CVE CVE-2021-21444

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21444

- Référence CVE CVE-2021-21476

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21476

- Référence CVE CVE-2021-21478

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21478

- Référence CVE CVE-2021-21474

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21474

- Référence CVE CVE-2021-21475

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21475

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-092/