SAP corrige 15 vulnérabilités dans sa mise à jour de sécurité
SAP a publié sa mise à jour de sécurité mensuelle. L’éditeur a publié quinze nouvelles notes de sécurité concernant différents produits de la marque, accompagnées de correctifs dont l’application est fortement recommandée.
Pour sécuriser les environnements informatiques de ses clients, l'éditeur de logiciels SAP a publié quinze nouvelles notes de sécurité lors de son Patch Day de mars. Aucun bulletin publié précédemment n’a été modifié. Parmi ces correctifs figurent deux vulnérabilités critiques.
La plus sévère, évaluée à 9.8 sur l'échelle CVSS, concerne une vulnérabilité d'injection de code (CVE-2019-17571) au sein de l'application SAP Quotation Management Insurance (FS-QUO). Selon les chercheurs de l'entreprise de cybersécurité Onapsis, cette brèche est due à l'utilisation d'une version obsolète d'Apache Log4j. Elle permet à un attaquant ne possédant aucun privilège d'exécuter à distance un code arbitraire sur le serveur, compromettant ainsi l'intégrité, la confidentialité et la disponibilité de l'application.
La seconde faille critique, qui obtient un score CVSS de 9.1, affecte l'administration du portail d'entreprise SAP NetWeaver. Il s'agit d'une vulnérabilité de désérialisation non sécurisée causée par une validation insuffisante lors du téléchargement de contenu. Cette faiblesse permet de soumettre des éléments malveillants sur le réseau.
En plus de ces deux vulnérabilités critiques, cette mise à jour résout une faille de niveau de risque élevé (7.7 sur l'échelle CVSS) exposant le composant SAP Supply Chain Management à un risque de déni de service. Les douze autres notes de sécurité publiées comblent des vulnérabilités de risque moyen et faible, avec des scores allant de 3.5 à 6.4. Elles concernent des défauts variés, tels que des manques de vérification des autorisations ou des failles d'injection SQL, touchant une large gamme de produits de l'éditeur incluant diverses versions de SAP NetWeaver, SAP Business One et SAP Business Warehouse.
L’actualité IT en Suisse et à l’international, avec un focus sur la Suisse romande, directement dans votre boîte mail > Inscrivez-vous à la newsletter d’ICTjournal, envoyée du lundi au vendredi!
