SAP a publié son patch mensuel de mars 2018 corrigeant plusieurs vulnérabilités sur ses produits

SAP a publié 27 bulletins de sécurité lors du « SAP Security Patch Day » (10 notes de correctifs de sécurité SAP et 17 notes de packages de support) dont 6 de priorité élevée, 19 de priorité moyenne et 2 de priorité faible. 4 bulletins étaient des mises à jour de bulletins de sécurité déjà publiés.

Le patch SAP de ce mois a traité 6 vulnérabilités relatives à l’absence de vérification d'autorisations, 5 divulgations d'information et 4 failles de type Cross-Site Scripting (XSS). SAP a également traité 3 vulnérabilités d'injection SQL, 2 failles de traversée de répertoire ainsi que des problèmes de déni de service, XXE, des informations d'identification codées en dur, injection de code et des bugs de clickjacking.

Le bulletin évalué le plus critique corrige 3 vulnérabilités de criticité élevée (Score CVSS: 8.8) dans SAP Internet Graphics Server (IGS). Il s’agit de vulnérabilités dont l’exploitation permet de corrompre la mémoire (CVE-2004-1308), provoquer un déni de service (CVE-2005-2974) et exécuter du code à distance (CVE-2005-3350). Ces vulnérabilités, qui existent depuis plus d'une décennie, impactent trois bibliothèques open source tierces, libtiff, giflib et libpng, qui gèrent les images (TIFF, GIF et PNG).

Ce mois-ci, SAP a également traité deux vulnérabilités de divulgation d'informations de criticité élevée impactant SAP Business Process Automation (BPA) de Redwood (CVE-2018-2400 - Score CVSS Base: 7.5) et un fichier de journalisation de SAP HANA (CVE-2018-2402 - CVSS Base Score: 7,6).

En raison du risque encouru par l'exposition des vulnérabilités, et l'impact éventuel sur la continuité de l'activité, il est recommandé d’appliquer les patchs publiés sur le portail de support des clients dès que possible.