Multiples vulnérabilités corrigées dans plusieurs produits SAP
Date de publication :
De multiples vulnérabilités ont été découvertes dans plusieurs produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer un déni de service à distance, un contournement de la politique de sécurité et une atteinte à la confidentialité des données.
CVE-2019-0379 [Score CVSSv3 : 9.3] : Cette vulnérabilité est due à l’absence de vérification d'authentification dans l'adaptateur AS2 (Applicability Statement 2, une spécification décrivant une méthode de transport de données électroniques sécurisée et fiable au travers d'Internet, basée sur le protocole HTTP et le standard S/MIME) de l'add-on B2B pour l'intégration des processus SAP NetWeaver. Un attaquant pourrait exploiter cette vulnérabilité afin de contourner la politique de sécurité.
CVE-2019-0379 [Score CVSSv3 : 9.1] : SAP Landscape Management Enterprise est vulnérable à de la divulgation d’information. L'éditeur n'a pas donné plus de détail sur cette vulnérabilité.
CVE-2019-0381 [Score CVSSv3 : 7.8] : Les applications SAP SQL Anywhere, avant la version 17.0, SAP IQ, avant la version 16.1, et SAP Dynamic Tier, avant les versions 1.0 et 2.0 ne contrôlent pas suffisamment les fichiers gérés. Elles sont vulnérables à une implantation binaire (Binary planting). Cette attaque consiste à placer (ou implanter) un fichier binaire contenant du code malveillant dans un système de fichiers local ou distant afin qu'une application vulnérable le charge et l'exécute. L’exploitation de cette vulnérabilité pourrait permettre à un attaquant d’accéder à des fichiers situés dans des répertoires extérieurs aux chemins autorisés.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
-
Déni de service à distance
Contournement de la politique de sécurité
Atteinte à la confidentialité des données
Injection de code indirecte à distance (XSS)
Criticité
-
Score CVSS : 9.3 (score de la vulnérabilité la plus critique)
Existence d’un code d’exploitation de la vulnérabilité
-
Aucun code d’exploitation n’est disponible.
Composants & versions vulnérables
-
SAP Process Integration, business-to-business add-on, Versions - 1.0, 2.0
SAP Landscape Management enterprise edition, Version - 3.0
SAP IQ, Version - 16.1
SAP SQL Anywhere, Version - 17.0
SAP Dynamic Tiering, Version - 1.0, 2.0
SAP Customer Relationship Management (Email Management), Versions - S4CRM 100, 200
SAP BusinessObjects Business Intelligence Platform (Web Intelligence HTML interface), Versions - 420, 430
SAP Financial Consolidation, Versions - 10.0, 10.1
SAP Kernel (RFC), Versions - KRNL32NUC, KRNL32UC and KRNL64NUC 7.21, 7.21EXT, 7.22, 7.22EXT, KRNL64UC 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49, 7.73 and KERNEL 7.21, 7.49, 7.53, 7.73, 7.76
SAP NetWeaver Process Integration (B2B Toolkit), Versions - 1.0, 2.0
CVE
-
CVE-2019-0381
CVE-2019-0380
CVE-2019-0379
CVE-2019-0378
CVE-2019-0377
CVE-2019-0376
CVE-2019-0375
CVE-2019-0374
CVE-2019-0370
CVE-2019-0369
CVE-2019-0368
CVE-2019-0367
CVE-2019-0365
Solutions ou recommandations
Mise en place de correctif de sécurité
- La liste des correctifs est accessible via le bulletin de sécurité SAP.
Solution de contournement
- Aucune solution n'a été proposée.