[PATCH] [SAP] Compromission d’un système via deux vulnérabilités au sein de produits SAP

[PATCH] [SAP] Compromission d’un système via deux vulnérabilités au sein de produits SAP

Cette semaine, plusieurs correctifs ont été publiés pour les produits SAP. Nous avons sélectionné pour vous ce bulletin qui contient les vulnérabilités les plus importantes.

Bulletin CXA-2015-1657
Titre Compromission d’un système via deux vulnérabilités au sein de produits SAP
Titre officiel SAP Security Notes May 2015
Criticité Criticite Elevée
Date 25 Mai 2015
Plateforme Toutes
Programmes SAP Gui
SAP Afaria
SAP Netweaver Application Server ABAP
SAP Netweaver Application Server Java
SAP Netweaver RFC SDK
SAP RFC SDK
SAP MaxDB database
SAPCAR archive tool
SAP System Landscape Directory
Exploitation Avec un fichier malveillant
Dommage Vol d’informations
Contournement de sécurité
Elévation de privilèges
Accès au système
Déni de service
Description Deux vulnérabilités ont été corrigées au sein de produits SAP. Leur exploitation permettait à un attaquant de mener des attaques de déni de service, d’obtenir des informations sensibles, d’élever ses privilèges, voire de prendre le contrôle d’un système à distance.

La première faille de sécurité provenait d’une erreur de dépassement de tampon au sein de SAP Afaria Server. Elle permettait à un attaquant d’exécuter du code arbitraire sur le système.

La seconde vulnérabilité était due à un manque de contrôle d’autorisation au sein de SAP Afaria afin d’accéder à des services normalement restreints. En exploitant cette vulnérabilité, un attaquant était en mesure d’obtenir des informations sensibles, d’élever ses privilèges sur le système et de mener d’autres attaques non spécifiées.

La troisième vulnérabilité provenait d’une erreur de vérification sur les entités XML externes (XXE) au sein de SAP System Landscape Directory et permettait à un attaquant d’accéder au système d’exploitation grâce à une requête spécialement conçue.

La quatrième vulnérabilité référencée CVE-2015-2282 provenait d’une erreur de dépassement de tampon au sein de l’algorithme de compression LZH utilisé par plusieurs produits SAP. Elle permettait à un attaquant d’exécuter du code arbitraire sur le système.

Enfin, la dernière vulnérabilité référencée CVE-2015-2278 était due à une erreur au sein de l’algorithme de compression LZH utilisé par plusieurs produits SAP. Elle permettait à un attaquant d’obtenir des informations sensibles.

Vulnérable * SAP NetWeaver Application Server ABAP
* SAP NetWeaver Application Server Java
* SAP NetWeaver RFC SDK
* SAP RFC SDK
* SAP GUI
* SAP MaxDB database
* SAPCAR archive tool
* SAP Afaria
* SAP System Landscape Directory
Référence http://seclists.org/fulldisclosure/2015/May/96
Référence CVE http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2278
Correction Le CERT-XMCO recommande l’installation des mises à jour disponibles via les liens suivants :
https://service.sap.com/sap/support/notes/2153690
https://service.sap.com/sap/support/notes/2155690
https://service.sap.com/sap/support/notes/2090851
https://service.sap.com/sap/support/notes/2124806
https://service.sap.com/sap/support/notes/2121661
https://service.sap.com/sap/support/notes/2127995
https://service.sap.com/sap/support/notes/2125316
Id XMCO CXA-2015-1657
Lien extranet XMCO https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2015-1657

Cert-XMCO