Avis de sécurité

Alertes de sécurité


CERTFR-2020-ALE-17 : Multiples vulnérabilités dans SAP Netweaver AS JAVA (15 juillet 2020)

Publié le 15 juillet 2020 09:02

Risque(s)

  • Contournement de la politique de sécurité
  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données

Systèmes affectés

  • LM Configuration Wizard de SAP NetWeaver AS JAVA version 7.30
  • LM Configuration Wizard de SAP NetWeaver AS JAVA version 7.31
  • LM Configuration Wizard de SAP NetWeaver AS JAVA version 7.40
  • LM Configuration Wizard de SAP NetWeaver AS JAVA version 7.50

Résumé

[Mise à jour du 22 juillet 2020]

Le CERT-FR a connaissance de codes d'attaques disponibles publiquement.

Le CERT-FR renouvelle sa recommandation d'appliquer les correctifs de sécurité dans les plus brefs délais.

SAP fournit plus de renseignements à ses clients dans sa note 2934135 (https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html)

[Publication initiale]

De multiples vulnérabilités ont été découvertes dans le composant LM Configuration Wizard de SAP Netweaver AS JAVA. Un attaquant non authentifié peut contourner la politique de sécurité pour exécuter différentes actions d'administration. En particulier, l'attaquant est en mesure de créer un compte avec les droits administrateurs pour se maintenir sur le système.

Solution

L'exposition de Netweaver AS requiert l'application des correctifs sans délai. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Le CERT-FR recommande également d'appliquer les mesures de sécurisation des applications accessibles en nomadisme [1].


La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommander d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.

Documentation

LIENS ASSOCIES


Inscrivez-vous à la newsletter CSIRT pour recevoir périodiquement les publications

Contact

contact@csirt-universitaire.org
+221 78 601 64 64
BP: XXX - Sénégal