[CERT ALERT] – SAP Internet Graphics Server – Multiple vulnérabilités

CERT-DVT Alerte CERT, Sécurité SAP

Fournisseur : SAP
Application : SAP Inernet Grahic Server (IGS)
Versions affectées : SAP IGS 7.20, 7.20_EXT, 7.45, 7.49, 7.53
Bug : Multiple vulnérabilités
CVSS : 8.3 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:H
CVE : CVE-2018-2395, CVE-2018-2394, CVE-2018-2396, CVE-2018-2391, CVE-2018-2390, CVE-2018-2386, CVE-2018-2385, CVE-2018-2384, CVE-2018-2393, CVE-2018-2392, CVE-2018-2388, CVE-2018-2383, CVE-2018-2389, CVE-2018-2382, CVE-2018-2387
Signalé : 17 08 2017
Résponse fournisseur : 20 08 2017
Notification public : 13 02 2018
Référence : SAP Security Note 2525222
Auteur : Yvan GENUER (Devoteam)

Description

Plusieurs vulnérabilités ont été découvertes dans le composant SAP IGS. Sous certaines conditions, un utilisateur malveillant peut récupérer des informations sur le système SAP, remplacer des images existantes, corrompre d’autres types de fichiers, effectuer un déni de service, injecter des fichiers journaux, effectuer une attaque XSS …

Risque business

Un attaquant peut exploiter ces vulnérabilités pour compromettre le système SAP, mettre fin à un processus à distance et engendrer un comportement inattendu du composant vulnérable.

Solution

Ces vulnérabilités sont corrigées dans les patchs décrits dans la section « Support Packages & Patches » de la note de sécurité SAP 2525222. Veuillez télécharger et appliquer le correctif IGS (SAP Internet Graphics Server) correspondant à votre version.

 

Yvan Genuer