AccueilActualités informatiquePatchday : failles de sécurité critiques dans le logiciel de gestion SAP

Patchday : failles de sécurité critiques dans le logiciel de gestion SAP

SAP a publié des mises à jour de sécurité pour combler 15 failles de sécurité. L’entreprise indique que cinq d’entre elles sont des mises à jour ou des correctifs des mois précédents, tandis que dix sont nouvelles. Les vulnérabilités permettaient entre autres aux pirates d’introduire et d’exécuter des codes malveillants, d’injecter des commandes SQL via SQL-Injection et d’exécuter des attaques Cross-Site-Scripting ou Denial-of-Service.

En raison du niveau de risque des failles, les administrateurs SAP devraient agir rapidement et mettre leurs systèmes à jour.

Les failles critiques se trouvent dans le système d’exploitation livré par SAP. Google Chrome de SAP Business Client 6.5 (CVSS 10), dans SAP Commerce dans la version localisée en chinois, SAP ABAP Server ABAP Platform (Outils de traduction) et Cadre de table de correspondance SAP NZDT (toutes trois CVSS 9.9). Les vulnérabilités à haut risque concernent SAP Commerce (CVSS 8.8 ainsi que 7.5), Entrepôt de connaissances SAP (CVSS 8.8), SAP NetWeaver AS ABAP (CVSS 8.4), SAP SuccessFactors Application mobile pour Android (CVSS 7.8) et Cadre SAF-T (7.7). Quatre autres vulnérabilités sont considérées par SAP comme présentant un risque moyen et une comme présentant un risque faible.

Sommaire

Comme à son habitude, l’entreprise de Walldorf ne donne pas de détails supplémentaires sur les failles de sécurité. La page d’aperçu du Patchday SAP de décembre énumère les différents messages de sécurité, qui ne sont toutefois accessibles qu’aux utilisateurs inscrits. Certaines entrées CVE indiquent, par exemple pour la version SAP Commerce localisée en chinois, que la bibliothèque de sérialisation Xstream est à l’origine de la faille de sécurité critique. De nombreuses CVE sont toutefois encore réservées et ne contiennent pas d’informations accessibles au public.

Lire aussi

Plus d'articles