AVIS CERTFR - 2021 - AVI - 702
Publié le 14 septembre 2021 à 20h22
Objet : Multiples vulnérabilités dans les produits SAP
Référence : CERTFR-2021-AVI-702
Risque(s)
- Exécution de code arbitraire à distance
- Déni de service à distance
- Contournement de la politique de sécurité
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Injection de code indirecte à distance (XSS)
Systèmes affectés
- SAP Business Client, Version – 6.5
- SAP NetWeaver Application Server Java (JMS Connector Service) , Versions - 7.11, 7.20, 7.30, 7.31, 7.40, 7.50
- SAP Business One, Versions - 10.0
- SAP S/4HANA, Versions - 1511, 1610, 1709, 1809, 1909, 2020, 2021
- SAP LT Replication Server, Versions - 2.0, 3.0
- SAP LTRS for S/4HANA, Version - 1.0
- SAP Test Data Migration Server, Version - 4.0
- SAP Landscape Transformation, Version - 2.0
- SAP NetWeaver (Visual Composer 7.0 RT) , Versions - 7.30, 7.31, 7.40, 7.50
- SAP NetWeaver Knowledge Management XML Forms , Versions - 7.10, 7.11, 7.30, 7.31, 7.40, 7.50
- SAP Contact Center, Version - 700
- SAP Web Dispatcher , Versions - WEBDISP - 7.49, 7.53, 7.77, 7.81, KRNL64NUC - 7.22, 7.22EXT, 7.49, KRNL64UC -7.22, 7.22EXT, 7.49, 7.53, KERNEL - 7.22, 7.49, 7.53, 7.77, 7.81, 7.83
- SAP CommonCryptoLib , Versions antérieures à 8.5.38
- SAP Analysis for Microsoft Office , Version - 2.8
- SAP Business Client , Versions - 7.0, 7.70
- SAP BusinessObjects Business Intelligence Platform (BI Workspace) , Version - 420
- SAP ERP Financial Accounting (RFOPENPOSTING_FR) , Versions - SAP_APPL - 600, 602, 603, 604, 605, 606, 616, SAP_FIN - 617, 618, 700, 720, 730, SAPSCORE - 125, S4CORE, 100, 101, 102, 103, 104, 105
- SAP NetWeaver Enterprise Portal, Versions - 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50
- SAP 3D Visual Enterprise Viewer, Version - 9.0
Résumé
De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité SAP 585106405 du 14 septembre 2021
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=585106405
- Référence CVE CVE-2021-37535
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37535
- Référence CVE CVE-2021-33698
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33698
- Référence CVE CVE-2021-38176
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-38176
- Référence CVE CVE-2021-38163
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-38163
- Référence CVE CVE-2021-37531
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37531
- Référence CVE CVE-2021-33672
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33672
- Référence CVE CVE-2021-33673
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33673
- Référence CVE CVE-2021-33674
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33674
- Référence CVE CVE-2021-33675
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33675
- Référence CVE CVE-2021-38162
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-38162
- Référence CVE CVE-2021-38177
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-38177
- Référence CVE CVE-2021-33685
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33685
- Référence CVE CVE-2021-38175
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-38175
- Référence CVE CVE-2021-38150
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-38150
- Référence CVE CVE-2021-33679
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33679
- Référence CVE CVE-2021-38164
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-38164
- Référence CVE CVE-2021-33686
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33686
- Référence CVE CVE-2021-21489
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21489
- Référence CVE CVE-2021-33688
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33688
- Référence CVE CVE-2021-37532
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37532
- Référence CVE CVE-2021-38174
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-38174
Dernière version du document