CERTFR-2020-ALE-017
Vulnerability from certfr_alerte

[Mise à jour du 22 juillet 2020]

Le CERT-FR a connaissance de codes d'attaques disponibles publiquement.

Le CERT-FR renouvelle sa recommandation d'appliquer les correctifs de sécurité dans les plus brefs délais.

SAP fournit plus de renseignements à ses clients dans sa note 2934135 (https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html)

[Publication initiale]

De multiples vulnérabilités ont été découvertes dans le composant LM Configuration Wizard de SAP Netweaver AS JAVA. Un attaquant non authentifié peut contourner la politique de sécurité pour exécuter différentes actions d'administration. En particulier, l'attaquant est en mesure de créer un compte avec les droits administrateurs pour se maintenir sur le système.

Solution

L'exposition de Netweaver AS requiert l'application des correctifs sans délai. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Le CERT-FR recommande également d'appliquer les mesures de sécurisation des applications accessibles en nomadisme [1].

La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommander d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.

None
Impacted products
Vendor Product Description
SAP SAP NetWeaver AS Java LM Configuration Wizard de SAP NetWeaver AS JAVA version 7.50
SAP SAP NetWeaver AS Java LM Configuration Wizard de SAP NetWeaver AS JAVA version 7.30
SAP SAP NetWeaver AS Java LM Configuration Wizard de SAP NetWeaver AS JAVA version 7.40
SAP SAP NetWeaver AS Java LM Configuration Wizard de SAP NetWeaver AS JAVA version 7.31
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "LM Configuration Wizard de SAP NetWeaver AS JAVA version 7.50",
      "product": {
        "name": "SAP NetWeaver AS Java",
        "vendor": {
          "name": "SAP",
          "scada": false
        }
      }
    },
    {
      "description": "LM Configuration Wizard de SAP NetWeaver AS JAVA version 7.30",
      "product": {
        "name": "SAP NetWeaver AS Java",
        "vendor": {
          "name": "SAP",
          "scada": false
        }
      }
    },
    {
      "description": "LM Configuration Wizard de SAP NetWeaver AS JAVA version 7.40",
      "product": {
        "name": "SAP NetWeaver AS Java",
        "vendor": {
          "name": "SAP",
          "scada": false
        }
      }
    },
    {
      "description": "LM Configuration Wizard de SAP NetWeaver AS JAVA version 7.31",
      "product": {
        "name": "SAP NetWeaver AS Java",
        "vendor": {
          "name": "SAP",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "closed_at": "2020-10-12",
  "content": "## Solution\n\nL\u0027exposition de Netweaver AS requiert l\u0027application des correctifs sans\nd\u00e9lai. Se r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention\ndes correctifs (cf. section Documentation).\n\nLe CERT-FR recommande \u00e9galement d\u0027appliquer les mesures de s\u00e9curisation\ndes applications accessibles en nomadisme \\[1\\].\n\n------------------------------------------------------------------------\n\nLa mise \u00e0\u00a0jour d\u0027un produit ou d\u0027un logiciel est une op\u00e9ration d\u00e9licate\nqui doit \u00eatre men\u00e9e avec prudence. Il est notamment recommander\nd\u0027effectuer des tests autant que possible. Des dispositions doivent\n\u00e9galement \u00eatre prises pour garantir la continuit\u00e9 de service en cas de\ndifficult\u00e9s lors de l\u0027application des mises \u00e0 jour comme des correctifs\nou des changements de version.\n",
  "cves": [
    {
      "name": "CVE-2020-6286",
      "url": "https://www.cve.org/CVERecord?id=CVE-2020-6286"
    },
    {
      "name": "CVE-2020-6287",
      "url": "https://www.cve.org/CVERecord?id=CVE-2020-6287"
    }
  ],
  "initial_release_date": "2020-07-15T00:00:00",
  "last_revision_date": "2020-10-12T00:00:00",
  "links": [
    {
      "title": "Bulletin de s\u00e9curit\u00e9 SAP du 14 juillet 2020",
      "url": "https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=552599675"
    },
    {
      "title": "[1] Guide ANSSI sur le nomadisme num\u00e9rique",
      "url": "https://www.ssi.gouv.fr/guide/recommandations-sur-le-nomadisme-numerique/"
    }
  ],
  "reference": "CERTFR-2020-ALE-017",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2020-07-15T00:00:00.000000"
    },
    {
      "description": "Des codes d\u0027attaques sont disponibles publiquement.",
      "revision_date": "2020-07-22T00:00:00.000000"
    },
    {
      "description": "Cl\u00f4ture de l\u0027alerte. La cl\u00f4ture d\u0027une alerte ne signifie pas la fin d\u0027une menace. Seule l\u0027application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l\u0027exploitation de la vuln\u00e9rabilit\u00e9 correspondante.",
      "revision_date": "2020-10-12T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
    },
    {
      "description": "Atteinte \u00e0 l\u0027int\u00e9grit\u00e9 des donn\u00e9es"
    },
    {
      "description": "Contournement de la politique de s\u00e9curit\u00e9"
    }
  ],
  "summary": "\u003cstrong\u003e\\[Mise \u00e0 jour du 22 juillet 2020\\]\u003c/strong\u003e\n\nLe CERT-FR a connaissance de codes d\u0027attaques disponibles publiquement.\n\nLe CERT-FR renouvelle sa recommandation d\u0027appliquer les correctifs de\ns\u00e9curit\u00e9 dans les plus brefs d\u00e9lais.\n\nSAP fournit plus de renseignements \u00e0 ses clients dans sa note 2934135\n(\u003chttps://support.sap.com/en/my-support/knowledge-base/security-notes-news.html\u003e)\n\n\u003cstrong\u003e\\[Publication initiale\\]\u003c/strong\u003e\n\nDe multiples vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans le composant LM\nConfiguration Wizard de SAP Netweaver AS JAVA. Un attaquant non\nauthentifi\u00e9 peut contourner la politique de s\u00e9curit\u00e9 pour ex\u00e9cuter\ndiff\u00e9rentes actions d\u0027administration. En particulier, l\u0027attaquant est en\nmesure de cr\u00e9er un compte avec les droits administrateurs pour se\nmaintenir sur le syst\u00e8me.\n",
  "title": "Multiples vuln\u00e9rabilit\u00e9s dans SAP Netweaver AS JAVA",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 SAP du 14 juillet 2020",
      "url": null
    },
    {
      "published_at": null,
      "title": "Bulletin CERT-FR CERTFR-2020-AVI-432 du 15 juillet 2020",
      "url": "https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-432/"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.