SAP corrige des failles critiques dans Business Client, Commerce et NetWeaver

0

Les mises à jour de sécurité de SAP pour ce mois-ci adressent de multiples vulnérabilités critiques. La plus grave d’entre elle, évaluée avec un score de gravité le plus élevé, affecte le produit Business Client de l’entreprise.

Deux autres produits de l’entreprise ont reçu des correctifs pour des failles de gravité critiques qui donnent aux utilisateurs non autorisés l’accès aux objets de configuration et permettent l’exécution de code à distance.

Scores de risque critique pour les failles de SAP

L’équipe de sécurité des produits SAP a partagé des informations sur les vulnérabilités découvertes et corrigées dans les produits de l’entreprise. Au total, il y a 19 notes de sécurité, dont cinq sont des mises à jour de failles de sécurité précédentes.

L’une de ces mises à jour fait référence à une vulnérabilité qui affecte Business Client, une interface utilisateur qui agit comme un point d’entrée à diverses applications de business de SAP.

Le risque de sécurité ne réside pas dans le produit lui-même, mais dans le contrôle du navigateur (Chrome) qui vient avec lui. Il n’y a pas de détails sur le problème, sauf qu’il a été évalué avec un score de gravité maximale de 10 sur 10.

sap

Le NIST délibère encore

SAP a également déployé une mise à jour qui corrige une faille d’exécution de code à distance dans SAP Commerce utilisé pour organiser les informations sur les produits pour la distribution sur plusieurs canaux de communication.

Le problème est identifié comme CVE-2021-27602 et affecte SAP Commerce 1808, 1811, 1905, 2005 et 2011. SAP l’évalue aussi comme critique, lui donnant un score de gravité de 9,8 sur 10.

Toutefois, le National Institute of Standards and Technology (NIST) n’a pas encore analysé et fournit un score de gravité, qui pourrait être inférieur.

Un attaquant autorisé dans l’application Backoffice Product Content Management de SAP Commerce peut l’exploiter pour obtenir l’exécution de code à distance sur le système en injectant du code malveillant dans les règles source.

Une autre mise à jour que SAP considère comme critique est celle du composant Migration Service dans la pile de logiciels NetWeaver – versions 7.10, 7.11, 7.30, 7.31, 7.40, 7.50 – qui permet aux organisations d’intégrer des données et des processus d’affaires à partir de sources multiples.

La vulnérabilité est identifiée comme CVE-2021-21481 et SAP l’évalue avec un score de gravité de 9,6 sur 10. NIST, cependant, lui donne un score de base de 8,8, ce qui en fait un risque de grande gravité.

Le problème réglé par la mise à jour est que le Service de migration n’effectuait pas de vérification d’autorisation. Les attaquants non autorisés pouvaient accéder à des objets de configuration pour obtenir des droits administratifs sur le système.

D’autres correctifs déployés lors du Security Patch Day de SAP couvrent les vulnérabilités que l’entreprise a évaluées comme étant de grande gravité:

Note de sécuritéDescription de la failleCVEScore de sévérité
3017908 – divulgation d’information dans NetWeaver Master Data ManagementCVE-2021-214828.3
3017823 – divulgation d’information dans Solution ManagerCVE-2021-214838.2
2993132 – manque de vérification d’autorisation dans NetWeaver AS ABAP et S4 HANA CVE-2020-268327.6
3039649 – chemin de recherche non cité SAPSetupCVE-2021-276087.5
3001824 – divulgation d’information dans NetWeaver AS for Java (Commandes de Telnet)CVE-2021-214857.4

Les correctifs supplémentaires déployés cette semaine sont pour les vulnérabilités de gravité moyenne. L’entreprise indique que plusieurs failles affectant le même produit peuvent être corrigés par une seule note de sécurité.

Si cet article vous a plu, jetez un œil à notre article précédent.

Laisser un commentaire