Multiples vulnérabilités dans SAP NetWeaver

Gestion du document

Référence	CERTA-2011-AVI-649
Titre	Multiples vulnérabilités dans SAP NetWeaver
Date de la première version	18 novembre 2011
Date de la dernière version	18 novembre 2011
Source(s)	Notes de support SAP 1589525, 1616058, 1580017, 1583286, 1572325, 1546307, 1569550
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Exécution de code arbitraire ;
contournement de la politique de sécurité ;
atteinte à l'intégrité des données ;
injection de code indirecte à distance.

Systèmes affectés

SAP NetWeaver 7.x.

Résumé

De multiples vulnérabilités, dont les plus critiques permettent l'exécution de code arbitraire et l'atteinte à l'intégrité des données, ont été corrigées dans SAP NetWeaver 7.x.

Description

SAP a corrigé de mutiples vulnérabilités dans NetWeaver 7.x. Celles-ci permettent notamment :

l'exécution de commandes arbitraire ;
l'injection de code HTML arbitraire dans les données renvoyées aux utilisateurs ;
la création arbitraire d'utilisateurs.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Note de support SAP 1589525 :

https://service.sap.com/sap/support/notes/1589525

Note de support SAP 1616058 :

https://service.sap.com/sap/support/notes/1616058

Note de support SAP 1580017 :

https://service.sap.com/sap/support/notes/1580017

Note de support SAP 1583286 :

https://service.sap.com/sap/support/notes/1583286

Note de support SAP 1572325 :

https://service.sap.com/sap/support/notes/1572325

Note de support SAP 1546307 :

https://service.sap.com/sap/support/notes/1546307

Note de support SAP 1569550 :

https://service.sap.com/sap/support/notes/1569550

Avis du CERT-FR

Objet: Multiples vulnérabilités dans SAP NetWeaver