Mise à jour de sécurité SAP

Toutes les mises à jour de sécurités publiées et les failles annoncées
Reprise notamment des publications du CERT-FR (ANSSI)
Répondre
Avatar du membre
charles
Administrateur du site
Messages : 5031
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Mise à jour de sécurité SAP

Message par charles » 14 mai 2020 00:37

Des mises à jour des sécurité ont été publiées le 12/05/2020 pour les produits SAP suivants :


SAP Application Server ABAP versions 2008_1_46C, 2008_1_620, 2008_1_640, 2008_1_700, 2008_1_710 et 740
SAP Business Client version 6.5
SAP Business Objects Business Intelligence Platform (Live Data Connect) versions 1.0, 2.0 et 2.x
SAP Adaptive Server Enterprise (Backup Server) version 16.0
SAP Business Objects Business Intelligence Platform (CrystalReports WebForm Viewer) versions 4.1 et 4.2
SAP Adaptive Server Enterprise (Cockpit) version 16.0
SAP Adaptive Server Enterprise version 16.0
SAP Adaptive Server Enterprise (XP Server on Windows Platform) versions 15.7 et 16.0
SAP Master Data Governance versions S4CORE 101; S4FND 102, 103, 104 et SAP_BS_FND 748
SAP Adaptive Server Enterprise (Web Services) versions 15.7 et 16.0
AP Business Client version 7.0
SAP Adaptive Server Enterprise version 16.0
SAP Business Objects Business Intelligence Platform version 4.2
SAP Adaptive Server Enterprise versions 15.7 et 16.0
SAP Enterprise Threat Detection versions 1.0 et 2.0
SAP Master Data Governance versions 748, 749, 750, 751, 752, 800, 801, 802, 803 et 804
SAP Business Objects Business Intelligence Platform (CMC et BI launchpad) version 4.2
SAP Plant Connectivity versions 15.1, 15.2, 15.3 et 15.4
SAP NetWeaver AS ABAP (Web Dynpro ABAP) version SAP_UI 750, 752, 753, 754; SAP_BASIS 700, 710, 730, 731 et 804
SAP Business Objects Business Intelligence Platform versions antérieures à 4.1, 4.2 et 4.3
SAP Business Objects Business Intelligence Platform versions antérieures à 4.1, 4.2 et 4.3
SAP Identity Management version 8.0

https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-283/

Avatar du membre
charles
Administrateur du site
Messages : 5031
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Re: Mise à jour de sécurité SAP

Message par charles » 10 juin 2020 16:25

Des mises à jour de sécurité ont été publiées le 09/06/2020 pour les produits suivants :

SAP Liquidity Management for Banking version 6.2
SAP Commerce versions 6.7, 1808, 1811 et 1905
SAP Commerce (Data Hub) versions  6.7, 1808, 1811 et 1905
SAP Commerce versions 6.7, 1808, 1811 et 1905
SAP Solution Manager (Problem Context Manager) version 7.2
SAP SuccessFactors Recruiting version 2005
SAP Netweaver AS ABAP versions 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753 et 754
SAP NetWeaver AS JAVA (P4 Protocol) versions SAP-JEECOR 7.00 et 7.01; SERVERCOR 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 et 7.50; CORE-TOOLS 7.00, 7.01, 7.02, 7.05, 7.10, 7.11, 7.20,
.30, 7.31, 7.40 et 7.50
SAP NetWeaver AS ABAP (Banking Services) versions 710, 711, 740, 750, 751, 752, 75A, 75B, 75C, 75D et 75E
SAP Solution Manager (Trace Analysis) version 7.20
SAP NetWeaver AS ABAP (Business Server Pages Test Application SBSPEXT_TABLE) versions 700, 701, 702, 730, 731, 740, 750, 751, 752, 753 et 754
SAP Fiori pour SAP S/4HANA versions 200, 300, 400 et 500
SAP Fiori pour SAP S/4HANA versions 200, 300, 400 et 500
SAP ERP (Statutory Reporting for Insurance Companies) versions EA-FINSERV 600, 603, 604, 605, 606, 616, 617, 618 et 800; S4CORE 101, 102, 103 et 104
SAP Business One (Backup service) versions 9.3,et 10.0
SAP Gateway versions 7.5, 7.51, 7.52 et 7.53
SAP Gateway versions 7.40 et 2.00
SAP Business Objects Business Intelligence Platform version 4.2

De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l'éditeur, une exécution de code arbitraire à distance et un contournement de la politique de sécurité.

https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-350/

Avatar du membre
charles
Administrateur du site
Messages : 5031
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Re: Mise à jour de sécurité SAP

Message par charles » 16 juil. 2020 09:18

Plusieurs vulnérabilités pouvant permettre à un attaquant de provoquer un contournement de la politique de sécurité, une atteinte à l'intégrité des données et une atteinte à la confidentialité des données ont été corrigées le 14/07/2020 dans les produits SAP suivants :


SAP NetWeaver AS JAVA (LM Configuration Wizard)
SAP Business Client
SAP NetWeaver (XML Toolkit for JAVA) ENGINEAPI
SAP Disclosure Management
SAP Business Objects Business Intelligence Platform (BI Launchpad, bipodata, CMC, Web Intelligence HTML Interface)
SAP NetWeaver AS JAVA (IIOP service) (CORE-TOOLS)
SAP NetWeaver (ABAP Server) et plate-formes ABAP

https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-432/

À noter que les vulnérabilités affectant le composant LM Configuration Wizard de SAP Netweaver AS JAVA pourrait permettre à un attaquant non authentifié de contourner la politique de sécurité pour exécuter différentes actions d'administration, et en particulier créer un compte avec les droits administrateurs pour se maintenir sur le système.

Le CERT-FR a ouvert une alerte à ce sujet :

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-17/

Avatar du membre
charles
Administrateur du site
Messages : 5031
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Re: Mise à jour de sécurité SAP

Message par charles » 23 juil. 2020 01:20

Comme le souligne le CERT-FR de l'ANSSI dans sa mise à jour de l'alerte CERTFR-2020-ALE-17 , des POCs pour la CVE-2020-6287 sont disponibles publiquement.

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-17/

Avatar du membre
charles
Administrateur du site
Messages : 5031
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Re: Mise à jour de sécurité SAP

Message par charles » 19 août 2020 16:11

Plusieurs vulnérabilité pouvant permettre à un attaquant de provoquer un problème de sécurité non spécifié par l'éditeur, une exécution de code arbitraire à distance et un contournement de la politique de sécurité ont été corrigées le 11/08/2020 dans les produits SAP suivants :

SAP Adaptive Server Enterprise
SAP Banking Services
SAP Business Objects Business Intelligence Platform
SAP Commerce versions
SAP Data Intelligence
SAP ERP
SAP NetWeaver
SAP S/4 HANA
SAPUI5

https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-495/

Avatar du membre
charles
Administrateur du site
Messages : 5031
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Re: Mise à jour de sécurité SAP

Message par charles » 09 sept. 2020 10:33

Plusieurs vulnérabilités pouvant permettre à un attaquant de provoquer un problème de sécurité non spécifié par l'éditeur, une exécution de code arbitraire à distance et un contournement de la politique de sécurité ont été corrigée le 08/09/2020 dans les produits SAP suivants :


SAP Solution Manager
SAP Business Client
SAP Marketing
SAP NetWeaver
BANKING SERVICES
S/4HANA FIN PROD SUBLDGR
SAP Commerce
SAPUI5
SAP Business Objects Business Intelligence Platform (BI Workspace)
SAPFiori
SAP 3D Visual Enterprise Viewer
SAP Adaptive Server Enterprise

https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-549/

Avatar du membre
charles
Administrateur du site
Messages : 5031
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Re: Mise à jour de sécurité SAP

Message par charles » 22 oct. 2020 10:15

Plusieurs vulnérabilités pouvant permettre à un attaquant de provoquer une exécution de code arbitraire à distance, un contournement de la politique de sécurité et une atteinte à l'intégrité des données ont été corrigées le 13/10/2020 dans les produits SAP suivants :

SAP Solution Manager
SAP NetWeaver
SAP 3D Visual Enterprise Viewer
SAP Commerce Cloud
SAP Business Planning and Consolidation
SAP Banking Services version 500

https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-630/

Avatar du membre
charles
Administrateur du site
Messages : 5031
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Re: Mise à jour de sécurité SAP

Message par charles » 11 nov. 2020 22:30

Plusieurs vulnérabilités pouvant permettre à un attaquant de provoquer un problème de sécurité non spécifié par l'éditeur, un contournement de la politique de sécurité et une élévation de privilèges ont été corrigées le 10/11/2020 dans les produits SAP suivants :

SAP Solution Manager (JAVA stack) version 7.2
SAP Solution Manager (User Experience Monitoring) version 7.2
SAP Data Services version 4.2
SAP AS ABAP(DMIS) versions 2011_1_620, 2011_1_640, 2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731, 2011_1_752 et 2020
SAP S4 HANA(DMIS) versions 101, 102, 103, 104 et 105
SAP NetWeaver AS JAVA versions 7.20, 7.30, 7.31, 7.40 et 7.50
SAP NetWeaver (Knowledge Management) versions 7.30, 7.31, 7.40 et 7.50
SAP Fiori Launchpad (News Tile Application) versions 750, 751, 752, 753, 754 et 755
SAP Commerce Cloud versions 1808,1811,1905 et 2005
SAP Commerce Cloud (Accelerator Payment Mock) versions 1808, 1811, 1905 et 2005
SAP NetWeaver AS ABAP versions 731, 740, 750, 751, 752, 753, 754, 755 et 782
BANKING SERVICES FROM SAP 9.0(Bank Analyzer) version 500
S/4HANA FIN PROD SUBLDGR version 100
SAP Process Integration (PGP Module – Business-to-Business Add On) version 1.0
SAP ERP Client for E-Bilanz 1.0 version 1.0
SAP ERP versions 600, 602, 603, 604, 605, 606, 616, 617 et 618
SAP S/4 HANA versions 100, 101, 102, 103 et 104
SAP 3D Visual Enterprise Viewer version 9

https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-722/

Répondre

Retourner vers « Alertes de sécurité - Mises à jour et failles »