SAP corrige 13 vulnérabilités sur ses produits

Date de publication :

SAP a publié une liste de correctifs dans le cadre du « Patch Day » de septembre 2019. Dans ce bulletin de sécurité, 3 vulnérabilités considérées comme critiques et 1 vulnérabilité considérée comme importante sont corrigées sur les différents logiciels SAP.

Les utilisateurs sont invités à mettre à jour ces composants au plus vite en se rendant sur SAP Support LaunchPad.

Détails techniques :

Concernant les vulnérabilités critiques :

  • CVE-2019-0330 [Score CVSSv3 9.1] : Le correctif reprend une mise à jour de Juillet 2019 et concerne le produit SAP Diagnostic Agent. La console OSCommand du produit Diagnostic Agent permettrait à un attaquant d’injecter du code pour qu’il soit exécuté par l’application. Le premier correctif publié en Juillet était efficace uniquement sur les systèmes Linux, et laissait les systèmes Windows vulnérables.
  • CVE-2019-0355 [Score CVSSv3 9.1] : Concernant le produit SAP NetWeaver AS for Java, cette vulnérabilité réside dans l’implémentation de la méthode HTTP PUT (méthode pour créer ou remplacer une ressource web). Elle pourrait permettre à un attaquant d’éviter les mécaniques de validation d’entrées, et ainsi téléverser du contenu web dynamique sur la plateforme. L’attaquant pourrait donc réaliser du déni de service ou exécuter des commandes sur la plateforme.
  • Une mise à jour d’un précédent patch d’Avril 2018 concerne plusieurs correctifs sur le navigateur Google Chromium intégré au produit SAP Business Client.

La vulnérabilité considérée comme importante est la suivante :

  • CVE-2019-0363 [Score CVSS v3 7.7] : Une faille sur le point de sortie HTTP/REST du produit SAP HANA pourrait permettre à un attaquant de réaliser du déni de service, ainsi que de faire de l’énumération des ports réseaux ouverts sur le système.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Exécution de commandes
  • Déni de Service
  • Fuite d’informations techniques

Criticité

  • Score CVSS : 9.1 (score de la vulnérabilité la plus critique)

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code d’exploitation n’est disponible.

Composants & versions vulnérables

  • SAP Business Client, Version - 6.5
  • SAP Diagnostic Agent (LM-Service), Version - 7.20
  • SAP NetWeaver AS for Java (Web Container)-ENGINEAPI, Versions - 7.10, 7.20, 7.30, 7.31, 7.40, 7.50
  • SAP HANA Extended Application Services, Versions - avant 1.0.118
  • SAP HANA, Versions - 1.0, 2.0
  • SAP BusinessObjects Business Intelligence Platform, Version - 4.1, 4.2
  • SAP Supplier Relationship Management (Master Data Management Catalog) (SRM_MDM_CAT), Versions - 3.73, 7.31, 7.32
  • SAP Business One, Version - 9.3
  • SAP Kernel (RFC), Versions - KRNL32NUC, KRNL32UC and KRNL64NUC 7.21, 7.21EXT, 7.22, 7.22EXT, KRNL64UC 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49, 7.73 and KERNEL 7.21, 7.49, 7.53, 7.73, 7.76
  • SAP BusinessObjects Business Intelligence Platform (CMC), Versions - 4.1, 4.2, 4.3
  • SAP NetWeaver Process Integration Runtime Workbench – MESSAGING and SAP_XIA, Versions - 7.31, 7.40, 7.50
  • SAP Business One Client, Versions - 9.2, 9.3

CVE

  • CVE-2019-0330
  • CVE-2019-0355
  • CVE-2019-0363
  • CVE-2019-0364
  • CVE-2019-0357
  • CVE-2018-2445
  • CVE-2019-0361
  • CVE-2012-6708
  • CVE-2018-11784
  • CVE-2019-0365
  • CVE-2019-0352
  • CVE-2019-0356
  • CVE-2019-0353

Solutions ou recommandations

Mise en place de correctif de sécurité

  • La liste des correctifs est accessible via le bulletin de sécurité SAP.

Solution de contournement

  • Aucune solution n'a été proposée.    

Liens