AccueilSécuritéPatchday : des failles dans les produits SAP permettent le trafic de...

Patchday : des failles dans les produits SAP permettent le trafic de code

Les mises à jour du Patchday de février comblent des failles de sécurité en partie critiques dans plusieurs produits SAP. Au total, SAP signale 18 vulnérabilités, dont sept avec la note maximale CVSS. 10.0soit le niveau de risque critique. Une autre faille critique a une valeur CVSS de 9.1. Trois failles sont considérées par le fabricant comme un risque élevé, six comme un risque moyen et une comme un risque faible. Néanmoins – cinq des entrées représentent des mises à jour d’anciens messages de sécurité.

Deux des vulnérabilités critiques proviennent à nouveau de la faille de sécurité Log4j et concernent SAP Commerce et SAP Data Intelligence 3 dans la version OnPremise installable localement (CVE-2021-44228, CVSS 10.0, critique). De plus, des attaquants auraient pu injecter des requêtes dans SAP NetWeaver, SAP Content Server et SAP Web Dispatcher (CVE-2022-22536, CVSS 10.0, critique).

D’autres failles sont présentes dans les outils d’analyse de la cause racine des diagnostics de SAP Solution Manager (CVE-2022-22544, CVSS 9.1, critique), SAP NetWeaver Application Server Java (CVE-2022-22532, CVSS 8.1, haut) et SAP NetWeaver AS ABAP (Workplace Server) (CVE-2022-22540, CVSS 7.1, haut). Les autres produits concernés ainsi qu’une brève mention de la vulnérabilité correspondante sont listés par SAP sur la page web du Patchday.

Les administrateurs devraient planifier très rapidement une fenêtre de maintenance pour l’installation des mises à jour, en particulier pour les mises à jour qui concernent les failles de sécurité critiques. Mais les responsables informatiques ne devraient pas non plus remettre à plus tard l’application des autres correctifs de sécurité.

Plus d'articles