CERTFR-2021-AVI-251 : Multiples vulnérabilités dans les produits SAP (13 avril 2021)
Risque(s)
- Non spécifié par l'éditeur
- Exécution de code arbitraire à distance
- Déni de service
- Contournement de la politique de sécurité
- Atteinte à la confidentialité des données
- Injection de code indirecte à distance (XSS)
Systèmes affectés
- SAP Commerce versions 1808,
1811, 1905, 2005 et 2011SAP NetWeaver Master Data Management versions 710 et 710.750 SAP Solution Manager version 7.20 SAP Setup version 9.0 SAP NetWeaver AS for JAVA (Telnet Commands) versions ENGINEAPI 7.30, 7.31, 7.40 et 7.50 SAP NetWeaver AS for JAVA (Telnet Commands) versions ESP_FRAMEWORK 7.10, 7.20, 7.30, 7.31, 7.40 et 7.50, SAP NetWeaver AS for JAVA (Telnet Commands) versions SERVERCORE 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 et 7.50, SAP NetWeaver AS for JAVA (Telnet Commands) versions J2EE-FRMW 7.10, 7.20, 7.30, 7.31, 7.40 et 7.50 SAP NetWeaver AS for JAVA (Customer Usage Provisioning Servlet) versions 7.31, 7.40 et 7.50 SAP NetWeaver AS for ABAP versions 731, 740 et 750 SAP Process Integration (Integration Builder Framework) versions 7.10, 7.30, 7.31, 7.40 et 7.50 SAP Process Integration (Enterprise Service Repository JAVA Mappings) versions 7.10, 7.20, 7.30, 7.31, 7.40 et 7.50 SAP Manufacturing Execution (System Rules) versions 15.1, 15.2, 15.3 et 15.4 SAP NetWeaver AS for Java (Applications based on HTMLB for Java) versions EP-BASIS 7.10, 7.11, 7.30, 7.31, 7.40 et 7.50 SAP NetWeaver AS for Java (Applications based on HTMLB for Java) versions FRAMEWORK-EXT 7.30, 7.31, 7.40 et 7.50 SAP NetWeaver AS for Java (Applications based on HTMLB for Java) versions FRAMEWORK 7.10 et 7.11 SAP Focused RUN versions 200 et 300 SAP NetWeaver AS for JAVA (HTTP Service) versions 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 et 7.50 SAP Fiori Apps 2.0 for Travel Management in SAP ERP version 608
Résumé
De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l'éditeur, une exécution de code arbitraire à distance et un déni de service.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité SAP 573801649 du 13 avril 2021
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=573801649 - Référence CVE CVE-2021-27602
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27602 - Référence CVE CVE-2021-21482
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21482 - Référence CVE CVE-2021-21483
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21483 - Référence CVE CVE-2021-27608
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27608 - Référence CVE CVE-2021-21485
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21485 - Référence CVE CVE-2021-27598
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27598 - Référence CVE CVE-2021-27603
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27603 - Référence CVE CVE-2021-27599
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27599 - Référence CVE CVE-2021-27604
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27604 - Référence CVE CVE-2021-27600
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27600 - Référence CVE CVE-2021-27601
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27601 - Référence CVE CVE-2021-27609
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27609 - Référence CVE CVE-2021-21492
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21492 - Référence CVE CVE-2021-27605
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27605
- Vues : 337