SAP publie ses mises à jour mensuelles du mois de septembre

SAP a publié 13 nouveaux bulletins de sécurité dont une mise à jour du bulletin publié en avril lors du « SAP Security Patch Day ».

Les nouvelles vulnérabilités découvertes en septembre sont majoritairement de criticité moyenne. Les vulnérabilités les plus critiques de cette mise à jour concernent :

  • Note #2622660 [CVSS : 9.8] : Mise à jour des navigateurs internet fournis avec SAP Business Client;
  • CVE-2018-2458 [CVSS : 8.8] : une vulnérabilité dont l'exploitation permettrait une divulgation d'informations dans SAP Business One;
  • CVE-2018-2462 [CVSS : 8.8] : une vulnérabilité due à un manque de validation XML dans BEx Web Java Runtime Export Web Service;
  • CVE-2018-2465 [CVSS : 7.5] : une vulnérabilité dont l'exploitation permettrait un déni de service (DoS) dans SAP HANA.

Parmi les autres nouvelles vulnérabilités corrigées, on notera vulnérabilités de type injections de code indirecte (XSS) ou dues à des vérifications insuffisantes.