SAP a publié son correctif mensuel de novembre corrigeant 22 vulnérabilités

SAP a publié la mise à jour mensuelle du mois de novembre contenant 32 corrections (dix sur des fonctionnalités de support et vingt-deux vulnérabilités). Parmi les vulnérabilités corrigées, trois sont critiques, une est à risque élevé et dix-huit sont des failles de sécurité à risque modéré.

Les trois vulnérabilités critiques portent sur :

  • Une vulnérabilité d’injection de code corrigée en septembre 2016
  • Deux vulnérabilités induisant une divulgation d’information dans SAP Landscape Management (LaMa) version 3.0 et LVM 2.1. Ces vulnérabilités ont été corrigées en septembre 2017.

Les autres vulnérabilités et bugs corrigés portent sur :

  • La résolution de six failles d’implémentation, cinq injections XSS, cinq problèmes de divulgation d’information, cinq erreurs de vérification d’autorisation, trois failles de type XXE (attaque contre les entités externes XML), deux bugs fonctionnels, une exécution locale de commandes, une exécution de commande système, une XSFR, un bug de contournement de clic (Clickjacking), une faille d’élévation de privilèges et une injection dans les logs.
  • La résolution d’une vulnérabilité de divulgation d’information dans SAP HANA Extended Application Services et SAP NetWeaver Instance Agent Service
  • La mise à jour de 28 notes précédemment publiées

Il est vivement recommandé d’appliquer les correctifs publiés par SAP.