Accéder au contenu principal

ALERTES DE SÉCURITÉ

ALERTES DE SÉCURITÉ

ALERTES DE SÉCURITÉ

Rédigé le . Publié dans Alertes du CERT FR.

CERTFR-2020-ALE-17 : Multiples vulnérabilités dans SAP Netweaver AS JAVA (15 juillet 2020)

De multiples vulnérabilités ont été découvertes dans le composant LM Configuration Wizard de SAP Netweaver AS JAVA. Un attaquant non authentifié peut contourner la politique de sécurité pour exécuter différentes actions d'administration.

Risque(s)

  • Contournement de la politique de sécurité
  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données

Systèmes affectés

  • LM Configuration Wizard de SAP NetWeaver AS JAVA version 7.30
  • LM Configuration Wizard de SAP NetWeaver AS JAVA version 7.31
  • LM Configuration Wizard de SAP NetWeaver AS JAVA version 7.40
  • LM Configuration Wizard de SAP NetWeaver AS JAVA version 7.50

Résumé

De multiples vulnérabilités ont été découvertes dans le composant LM Configuration Wizard de SAP Netweaver AS JAVA. Un attaquant non authentifié peut contourner la politique de sécurité pour exécuter différentes actions d'administration. En particulier, l'attaquant est en mesure de créer un compte avec les droits administrateurs pour se maintenir sur le système.

Solution

L'exposition de Netweaver AS requiert l'application des correctifs sans délai. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Le CERT-FR recommande également d'appliquer les mesures de sécurisation des applications accessibles en nomadisme [1].

La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommander d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.

Documentation

  • Vues : 869