Risque(s)
- Exécution de code arbitraire à distance
- Déni de service à distance
- Contournement de la politique de sécurité
- Atteinte à l’intégrité des données
- Atteinte à la confidentialité des données
- Injection de code indirecte à distance (XSS)
Systèmes affectés
- SAP Business Client, Version – 6.5
- SAP NetWeaver Application Server Java (JMS Connector Service) , Versions – 7.11, 7.20, 7.30, 7.31, 7.40, 7.50
- SAP Business One, Versions – 10.0
- SAP S/4HANA, Versions – 1511, 1610, 1709, 1809, 1909, 2020, 2021
- SAP LT Replication Server, Versions – 2.0, 3.0
- SAP LTRS for S/4HANA, Version – 1.0
- SAP Test Data Migration Server, Version – 4.0
- SAP Landscape Transformation, Version – 2.0
- SAP NetWeaver (Visual Composer 7.0 RT) , Versions – 7.30, 7.31, 7.40, 7.50
- SAP NetWeaver Knowledge Management XML Forms , Versions – 7.10, 7.11, 7.30, 7.31, 7.40, 7.50
- SAP Contact Center, Version – 700
- SAP Web Dispatcher , Versions – WEBDISP – 7.49, 7.53, 7.77, 7.81, KRNL64NUC – 7.22, 7.22EXT, 7.49, KRNL64UC -7.22, 7.22EXT, 7.49, 7.53, KERNEL – 7.22, 7.49, 7.53, 7.77, 7.81, 7.83
- SAP CommonCryptoLib , Versions antérieures à 8.5.38
- SAP Analysis for Microsoft Office , Version – 2.8
- SAP Business Client , Versions – 7.0, 7.70
- SAP BusinessObjects Business Intelligence Platform (BI Workspace) , Version – 420
- SAP ERP Financial Accounting (RFOPENPOSTING_FR) , Versions – SAP_APPL – 600, 602, 603, 604, 605, 606, 616, SAP_FIN – 617, 618, 700, 720, 730, SAPSCORE – 125, S4CORE, 100, 101, 102, 103, 104, 105
- SAP NetWeaver Enterprise Portal, Versions – 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50
- SAP 3D Visual Enterprise Viewer, Version – 9.0
Résumé
De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d’entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.
Solution
Se référer au bulletin de sécurité de l’éditeur pour l’obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité SAP 585106405 du 14 septembre 2021
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=585106405 - Référence CVE CVE-2021-37535
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37535 - Référence CVE CVE-2021-33698
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33698 - Référence CVE CVE-2021-38176
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-38176 - Référence CVE CVE-2021-38163
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-38163 - Référence CVE CVE-2021-37531
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37531 - Référence CVE CVE-2021-33672
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33672 - Référence CVE CVE-2021-33673
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33673 - Référence CVE CVE-2021-33674
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33674 - Référence CVE CVE-2021-33675
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33675 - Référence CVE CVE-2021-38162
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-38162 - Référence CVE CVE-2021-38177
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-38177 - Référence CVE CVE-2021-33685
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33685 - Référence CVE CVE-2021-38175
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-38175 - Référence CVE CVE-2021-38150
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-38150 - Référence CVE CVE-2021-33679
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33679 - Référence CVE CVE-2021-38164
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-38164 - Référence CVE CVE-2021-33686
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33686 - Référence CVE CVE-2021-21489
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21489 - Référence CVE CVE-2021-33688
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33688 - Référence CVE CVE-2021-37532
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37532 - Référence CVE CVE-2021-38174
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-38174