SAP corrige 11 nouvelles vulnérabilités sur ses produits

SAP a publié une liste de correctif dans le cadre du « Patch Day » d’octobre. Sur cette mise à jour, SAP publie 15 bulletins de sécurité corrigeant 11 nouvelles vulnérabilités et mettant à jour 4 anciens bulletins. Parmi les vulnérabilités, 2 sont critiques, 4 hautes et 9 moyennes.

Les vulnérabilités les plus critiques sont référencées comme suit :

  • CVE-2018-2471 [CVSS : 9.8] : Divulgation d’information dans le client SAP Business Intelligence Platform.
  • Note #2622660 [CVSS : 9.8] : Mise à jour d’un bulletin corrigé en avril 2018 pour le navigateur Chromium fourni avec SAP Business Client.
  • CVE-2018-2475 [CVSS : 8.5] : Vulnérabilité dans Kupernetes due à une mauvaise isolation réseau des clusters Gardener. Un utilisateur ayant accès à un cluster Gardener pourrait compromettre ce cluster ainsi que ceux sur le même réseau privé.
  • CVE-2018-12585 et CVE-2018-12086 [CVSS : 8.2] : Déni de service sur les applications SAP Plant Connectivity.
  • Note #2392860 [CVSS : 8.0] : Mise à jour d’une vulnérabilité corrigée en février 2017 dans SAP Records Management.
  • CVE-2018-2465 [CVSS : 7.5] : Mise à jour d’une vulnérabilité corrigée en septembre 2018  concernant des validations XML manquantes dans SAP HANA.

Les autres vulnérabilités sont en majorité des failles XSS et CSRF.

Les utilisateurs sont invités à mettre à jour ces composants au plus vite en se rendant sur SAP Support LaunchPad.