SAP publie le patch mensuel de février corrigeant 26 vulnérabilités

SAP a publié 11 bulletins de sécurité lors du « Patch Day » et trois mises à jour de bulletins de sécurité déjà publiés. La mise à jour corrige 5 vulnérabilités de criticité élevée, 19 vulnérabilités de criticité modérée et 2 vulnérabilités de criticité faible.

Les mises à jour corrigent également un problème de contournement d'autorisation dans ERP Logistics, une vulnérabilité de type CSRF dans SAP Sybase et un problème lié à la gestion des notes signées numériquement dans SAP Note Assistant.

Parmi les 11 composants impactés, on retrouve :

  • Internet Graphics Server (IGS)
  • NetWeaver System Landscape Directory
  • Les services applicatifs étendus HANA
  • L'interface de fichier ABAP
  • SAP CRM
  • ERP Financials Information System
  • Le portail Netweaver
  • L'application Web Java Netweaver
  • L'interface utilisateur CRM WebClient
  • SAP HANA.

Parmi les vulnérabilités critiques corrigées, on retrouve :

  • Un contrôle d'authentification manquant dans le répertoire SAP NetWeaver System Landscape (CVE-2018-2368 avec un score de base CVSS de 8.3). L’exploitation de cette vulnérabilité permettrait d'obtenir de l'information technique et de pouvoir escalader ses privilèges.
  • Un défaut de conception dans l’application SAP IGS (CVE-2018-2395 avec un score de base CVSS de 8.3). Ce défaut de conception introduirait plusieurs vulnérabilités:
    • Téléchargement de fichiers non autorisés (CVE-2018-2395),
    • DoS (CVE-2018-2394, CVE-2018-2396, CVE-2018-2391, CVE-2018-2390, CVE-2018-2386, CVE-2018-2385, CVE-2018-2384),
    • Injection d'entité externe XML (XXE) (CVE-2018-2393, CVE-2018-2392)
    • Injection dans les logs (CVE-2018-2389)
    • Divulgation d'informations techniques (CVE-2018-2382, CVE-2018-2387).

En raison du risque encouru par l'exposition des vulnérabilités, et l'impact éventuel sur la continuité de l'activité, il est recommandé d’appliquer les patchs publiés sur le portail de support des clients dès que possible.