À l’occasion du Patch Tuesday, SAP a sécurisé ses logiciels d’entreprise contre les attaques grâce à des mises à jour. Alors que l’entreprise est plutôt avare de ce que l’on appelle les « Hot News », terme interne désignant les failles de sécurité critiques, la plupart du temps, l’avis de septembre en compte pas moins de cinq.

Les lacunes critiques concernent NetWeaver Application Server pour Java (avec le score CVSS le plus élevé possible, à savoir 10), les NZDT Mapping Table Framework, NetWeaver Knowledge Management, SAP Contact Center et Visual Composer 7.0 RT en tant que composant de NetWeaver (score CVSS de 9,9 chacun). En outre, une faille de sécurité avec une note « élevée » est présente dans chacun des composants suivants Dispatcher Web SAP et SAP CommonCryptoLib. Les autres ont été jugées « moyennes ».

Informations complémentaires et mises à jour

Comme d’habitude, l’avis de SAP pour le Security Patch Day de septembre 2021 est plutôt prudent quant aux détails des vulnérabilités. Entre autres, le contournement des mécanismes d’authentification (« Missing Authorization check in SAP NetWeaver Application Server for Java », CVE-2021-37535), l’injection de code et de SQL ainsi que le téléchargement non autorisé de fichiers sont possibles.

Si vous souhaitez en savoir plus, cliquez sur les « Notes de sécurité » liées à l’avis dans la zone protégée du site Web d’assistance SAP. En outre, il est intéressant d’examiner de plus près l’avis du patchday pour avoir une vue d’ensemble des notes de sécurité mises à jour au cours des derniers mois. Dans le cas présent, deux anciennes « Hot News » ont été mises à jour.

(ovw)