L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Crystal Reports

alerte de vulnérabilité CVE-2014-5505 CVE-2014-5506

SAP Crystal Reports : deux vulnérabilités de RPT

Synthèse de la vulnérabilité

Un attaquant peut inviter la victime à ouvrir un fichier RPT illicite avec SAP Crystal Reports, afin de mener un déni de service, et éventuellement d'exécuter du code.
Produits concernés : Crystal Reports.
Gravité : 3/4.
Date création : 12/08/2014.
Date révision : 04/09/2014.
Références : 1999142, CVE-2014-5505, CVE-2014-5506, DOC-8218, VIGILANCE-VUL-15161, ZDI-14-301, ZDI-14-302.

Description de la vulnérabilité

Le produit SAP Crystal Reports supporte les fichiers au format RPT. Plusieurs vulnérabilités ont été annoncées dans SAP Crystal Reports.

Un attaquant peut provoquer un buffer overflow via RPT, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2014-5505, ZDI-14-301]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée via RPT, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2014-5506, ZDI-14-302]

Un attaquant peut donc inviter la victime à ouvrir un fichier RPT illicite avec SAP Crystal Reports, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité 14732

SAP : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de SAP, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Business Objects, Crystal Enterprise, Crystal Reports, SAP ERP, NetWeaver, ASE.
Gravité : 2/4.
Date création : 13/05/2014.
Date révision : 19/05/2014.
Références : 1979438, DOC-8218, VIGILANCE-VUL-14732.

Description de la vulnérabilité

Le produit SAP dispose d'un service web.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de SAP, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2014-3129

SAP Software Lifeclycle Manager : obtention d'information

Synthèse de la vulnérabilité

Un attaquant peut utiliser SAP Software Lifeclycle Manager, afin d'obtenir des informations sensibles.
Produits concernés : Crystal Enterprise, Crystal Reports, SAP ERP, NetWeaver.
Gravité : 2/4.
Date création : 14/01/2014.
Date révision : 29/04/2014.
Références : 1894049, CVE-2014-3129, DOC-8218, ONAPSIS-2014-005, VIGILANCE-VUL-14067.

Description de la vulnérabilité

Le produit SAP Software Lifeclycle Manager dispose d'un service web.

Cependant, un attaquant peut employer des requêtes HTTP pour contourner les restrictions d'accès aux données. Les détails techniques ne sont pas connus.

Un attaquant peut donc utiliser SAP Software Lifeclycle Manager, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité informatique CVE-2014-2751

SAP Print and Output : élévation de privilèges

Synthèse de la vulnérabilité

Un attaquant peut accéder à un utilisateur de SAP Print and Output, afin d'élever ses privilèges ou d'obtenir des informations sensibles.
Produits concernés : Business Objects, Crystal Enterprise, Crystal Reports, SAP ERP, NetWeaver.
Gravité : 2/4.
Date création : 10/12/2013.
Date révision : 14/03/2014.
Références : 1911523, CVE-2014-2751, DOC-8218, ONAPSIS-2014-004, VIGILANCE-VUL-13915.

Description de la vulnérabilité

Le produit SAP Print and Output gère l'affichage des documents.

Cependant, il utilise un nom d'utilisateur codé en dur.

Un attaquant peut donc accéder à un utilisateur de SAP Print and Output, afin d'élever ses privilèges ou d'obtenir des informations sensibles.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité 14262

SAP : multiples vulnérabilités de février 2014

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de SAP.
Produits concernés : Business Objects, Crystal Enterprise, Crystal Reports, SAP ERP, NetWeaver, ASE.
Gravité : 2/4.
Date création : 14/02/2014.
Références : 1716640, 1769611, 1771706, 1777988, 1781171, 1833327, 1911319, 1913388, 1915908, 1942332, VIGILANCE-VUL-14262.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été publiquement annoncées ce mois-ci par SAP.

Un attaquant peut traverser les répertoires dans HFILTAX0_FORMS0_ALV, afin de lire un fichier situé hors de la racine. [grav:2/4; 1913388]

Un attaquant peut traverser les répertoires dans HFISTWC0_FORMS, afin de lire un fichier situé hors de la racine. [grav:2/4; 1777988]

Un attaquant peut traverser les répertoires dans HFIUTMS0, afin de lire un fichier situé hors de la racine. [grav:2/4; 1771706]

Un attaquant peut traverser les répertoires dans HFISTBC0_SUBR, afin de lire un fichier situé hors de la racine. [grav:2/4; 1769611]

Un attaquant peut provoquer un Cross Site Scripting dans Business Planning and Consolidation, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; 1942332]

Un attaquant peut contourner les restrictions d'accès de ABAP Reports, afin de lire ou modifier des données. [grav:2/4; 1911319]

Un attaquant peut contourner les restrictions d'accès de ABAP Reports, afin de lire ou modifier des données. [grav:2/4; 1716640]

Un attaquant peut contourner les restrictions d'accès de ABAP Reports, afin de lire ou modifier des données. [grav:2/4; 1915908]

Un attaquant peut inviter la victime à cliquer dans WebDynpro Java, afin d'effectuer des opérations. [grav:1/4; 1781171]

Un attaquant peut provoquer une injection SQL dans LSZRSF03, afin de lire ou modifier des données. [grav:2/4; 1833327]

D'autres vulnérabilités ont peut-être été annoncées ce mois-ci, mais elles sont privées. Il faut contacter SAP pour avoir la liste complète.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité 14260

SAP : exécution de code via CTC

Synthèse de la vulnérabilité

Un attaquant peut employer la servlet CTC de SAP, afin d'exécuter du code.
Produits concernés : Business Objects, Crystal Enterprise, Crystal Reports, SAP ERP, NetWeaver, ASE.
Gravité : 3/4.
Date création : 14/02/2014.
Références : 1963100, VIGILANCE-VUL-14260.

Description de la vulnérabilité

Un attaquant peut employer la servlet CTC de SAP, afin d'exécuter du code.

Les détails techniques ne sont pas connus.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2013-7359

SAP : vulnérabilité 1789611

Synthèse de la vulnérabilité

Une vulnérabilité inconnue a été annoncée dans les produits SAP.
Produits concernés : Business Objects, Crystal Enterprise, Crystal Reports, SAP ERP, NetWeaver.
Gravité : 2/4.
Date création : 12/03/2013.
Références : 1789611, CVE-2013-7359, DOC-8218, ONAPSIS-2013-009, VIGILANCE-VUL-12507.

Description de la vulnérabilité

Une vulnérabilité inconnue a été annoncée dans les produits SAP.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité informatique 12505

SAP : vulnérabilité 1806435

Synthèse de la vulnérabilité

Une vulnérabilité inconnue a été annoncée dans les produits SAP.
Produits concernés : Business Objects, Crystal Enterprise, Crystal Reports, SAP ERP, NetWeaver.
Gravité : 2/4.
Date création : 12/03/2013.
Références : 1806435, DOC-8218, VIGILANCE-VUL-12505.

Description de la vulnérabilité

Une vulnérabilité inconnue a été annoncée dans les produits SAP.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité 12504

SAP : vulnérabilité 1786822

Synthèse de la vulnérabilité

Une vulnérabilité inconnue a été annoncée dans les produits SAP.
Produits concernés : Business Objects, Crystal Enterprise, Crystal Reports, SAP ERP, NetWeaver.
Gravité : 2/4.
Date création : 12/03/2013.
Références : 1786822, DOC-8218, VIGILANCE-VUL-12504.

Description de la vulnérabilité

Une vulnérabilité inconnue a été annoncée dans les produits SAP.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité 12503

SAP : vulnérabilité 1789823

Synthèse de la vulnérabilité

Une vulnérabilité inconnue a été annoncée dans les produits SAP.
Produits concernés : Business Objects, Crystal Enterprise, Crystal Reports, SAP ERP, NetWeaver.
Gravité : 2/4.
Date création : 12/03/2013.
Références : 1789823, 1813734, DOC-8218, VIGILANCE-VUL-12503.

Description de la vulnérabilité

Une vulnérabilité inconnue a été annoncée dans les produits SAP.
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Crystal Reports :