Multiples vulnérabilités corrigées dans plusieurs produits SAP

Date de publication :

De multiples vulnérabilités ont été découvertes dans plusieurs produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer un déni de service à distance, un contournement de la politique de sécurité et une atteinte à la confidentialité des données.

CVE-2019-0379 [Score CVSSv3 : 9.3] : Cette vulnérabilité est due à l’absence de vérification d'authentification dans l'adaptateur AS2 (Applicability Statement 2, une spécification décrivant une méthode de transport de données électroniques sécurisée et fiable au travers d'Internet, basée sur le protocole HTTP et le standard S/MIME) de l'add-on B2B pour l'intégration des processus SAP NetWeaver. Un attaquant pourrait exploiter cette vulnérabilité afin de contourner la politique de sécurité.

CVE-2019-0379 [Score CVSSv3 : 9.1] : SAP Landscape Management Enterprise est vulnérable à de la divulgation d’information. L'éditeur n'a pas donné plus de détail sur cette vulnérabilité.

CVE-2019-0381 [Score CVSSv3 : 7.8] : Les applications SAP SQL Anywhere, avant la version 17.0, SAP IQ, avant la version 16.1, et SAP Dynamic Tier, avant les versions 1.0 et 2.0 ne contrôlent pas suffisamment les fichiers gérés. Elles sont vulnérables à une implantation binaire (Binary planting). Cette attaque consiste à placer (ou implanter) un fichier binaire contenant du code malveillant dans un système de fichiers local ou distant afin qu'une application vulnérable le charge et l'exécute. L’exploitation de cette vulnérabilité pourrait permettre à un attaquant d’accéder à des fichiers situés dans des répertoires extérieurs aux chemins autorisés.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Déni de service à distance
  • Contournement de la politique de sécurité
  • Atteinte à la confidentialité des données
  • Injection de code indirecte à distance (XSS)

Criticité

  • Score CVSS : 9.3  (score de la vulnérabilité la plus critique)

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code d’exploitation n’est disponible.

Composants & versions vulnérables

  • SAP Process Integration, business-to-business add-on, Versions - 1.0, 2.0
  • SAP Landscape Management enterprise edition, Version - 3.0
  • SAP IQ, Version - 16.1
  • SAP SQL Anywhere, Version - 17.0
  • SAP Dynamic Tiering, Version - 1.0, 2.0
  • SAP Customer Relationship Management (Email Management), Versions - S4CRM 100, 200
  • SAP BusinessObjects Business Intelligence Platform (Web Intelligence HTML interface), Versions - 420, 430
  • SAP Financial Consolidation, Versions - 10.0, 10.1
  • SAP Kernel (RFC), Versions - KRNL32NUC, KRNL32UC and KRNL64NUC 7.21, 7.21EXT, 7.22, 7.22EXT, KRNL64UC 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49, 7.73 and KERNEL 7.21, 7.49, 7.53, 7.73, 7.76
  • SAP NetWeaver Process Integration (B2B Toolkit), Versions - 1.0, 2.0

CVE

  • CVE-2019-0381
  • CVE-2019-0380
  • CVE-2019-0379
  • CVE-2019-0378
  • CVE-2019-0377
  • CVE-2019-0376
  • CVE-2019-0375
  • CVE-2019-0374
  • CVE-2019-0370
  • CVE-2019-0369
  • CVE-2019-0368
  • CVE-2019-0367
  • CVE-2019-0365

 

Solutions ou recommandations

Mise en place de correctif de sécurité

  • La liste des correctifs est accessible via le bulletin de sécurité SAP.

Solution de contournement

  • Aucune solution n'a été proposée.

Liens