CERTFR-2020-AVI-350 : Multiples vulnérabilités dans les produits SAP (09 juin 2020)
Risque(s)
- Non spécifié par l'éditeur
- Exécution de code arbitraire à distance
- Contournement de la politique de sécurité
- Atteinte à la confidentialité des données
- Injection de code indirecte à distance (XSS)
Systèmes affectés
- SAP Liquidity Management for Banking version
6.2SAP Commerce versions 6.7, 1808, 1811 et 1905 SAP Commerce (Data Hub) versions 6.7, 1808, 1811 et 1905 SAP Commerce versions 6.7, 1808, 1811 et 1905 SAP Solution Manager (Problem Context Manager) version 7.2 SAP SuccessFactors Recruiting version 2005 SAP Netweaver AS ABAP versions 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753 et 754 SAP NetWeaver AS JAVA (P4 Protocol) versions SAP-JEECOR 7.00 et 7.01; SERVERCOR 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 et 7.50; CORE-TOOLS 7.00, 7.01, 7.02, 7.05, 7.10, 7.11, 7.20, .30, 7.31, 7.40 et 7.50 SAP NetWeaver AS ABAP (Banking Services) versions 710, 711, 740, 750, 751, 752, 75A, 75B, 75C, 75D et 75E SAP Solution Manager (Trace Analysis) version 7.20 SAP NetWeaver AS ABAP (Business Server Pages Test Application SBSPEXT_TABLE) versions 700, 701, 702, 730, 731, 740, 750, 751, 752, 753 et 754 SAP Fiori pour SAP S/4HANA versions 200, 300, 400 et 500 SAP Fiori pour SAP S/4HANA versions 200, 300, 400 et 500 SAP ERP (Statutory Reporting for Insurance Companies) versions EA-FINSERV 600, 603, 604, 605, 606, 616, 617, 618 et 800; S4CORE 101, 102, 103 et 104 SAP Business One (Backup service) versions 9.3,et 10.0 SAP Gateway versions 7.5, 7.51, 7.52 et 7.53 SAP Gateway versions 7.40 et 2.00 SAP Business Objects Business Intelligence Platform version 4.2
Résumé
De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l'éditeur, une exécution de code arbitraire à distance et un contournement de la politique de sécurité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité SAP 547426775 du 09 juin 2020
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=547426775 - Référence CVE CVE-2020-1938
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1938 - Référence CVE CVE-2020-6265
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6265 - Référence CVE CVE-2020-6264
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6264 - Référence CVE CVE-2020-6271
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6271 - Référence CVE CVE-2020-6279
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6279 - Référence CVE CVE-2020-6275
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6275 - Référence CVE CVE-2020-6263
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6263 - Référence CVE CVE-2020-6270
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6270 - Référence CVE CVE-2020-6260
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6260 - Référence CVE CVE-2018-1000632
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1000632 - Référence CVE CVE-2019-17571
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17571 - Référence CVE CVE-2020-6246
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6246 - Référence CVE CVE-2020-6266
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6266 - Référence CVE CVE-2020-6268
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6268 - Référence CVE CVE-2020-6239
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6239 - Référence CVE CVE-2019-0319
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0319 - Référence CVE CVE-2020-6269
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6269
- Vues : 423