Mises à jour de sécurité pour SAP

Numéro : AV18-061
Date : Le 11 avril 2018

Objet

Le but de cet avis est d’attirer l'attention sur une série de mises à jour de sécurité qui corrigent plusieurs vulnérabilités dans diverses applications de SAP.

Évaluation

L'avis de sécurité de SAP souligne de nombreux correctifs qui corrigent les vulnérabilités de leurs produits. Le niveau de danger de ces vulnérabilités se situent entre moyen et critique.

Produits concernés:

- SAP Business Client, Version 6.5
- SAP Business One, Versions 9.2, 9.3
- SAP Visual Composer, Versions 7.00, 7.01, 7.02, 7.30, 7.31
- SAP Business Objects, Versions 4.0, from 4.10, from 4.20, 4.30
- SAP Cloud Platform Connector, Version - 2.0
- SAP Disclosure Management, Version 10.1
- SAP Solution Manager, Versions 7.10, 7.20
- Sybase PowerBuilder, Version 12.6
- SMP, Version 2.3
- Agentry, Version 6.0
- SAP Open Switch, Version 15.1
- SAP Open Server, Versions 15.7, 16.0
- SDK for SAP ASE, Version 16.0
- SYBASE SOFTWARE DEV KIT, Version 15.7
- SYBASE IQ, Version 15.4
- SAP IQ, Version 16.0
- Sybase SQL Anywhere, Versions 12.0.1, 16.0
- SAP SQL Anywhere, Version 17.0
- SAP SQL Anywhere OnDemand, Version 1.0
- SAP ASE, Versions 15.7, 16.0
- SAP Replication Server, Version 15.7
- SYBASE ECDA, Version 15.7
- SAP HANA Smart Data Streaming, Version 1.0
- SAP Complex Assembly Manufacturing, Version 7.2
- SAP Data Services, Version 4.2
- SAP Crystal Reports Server, OEM Edition, Versions 4.0, 4.10, 4.20, 4.30
- SAP Control Center and SAP Cockpit Framework

Références CVE : CVE-2018-2403, CVE-2018-2404, CVE-2018-2405, CVE-2018-2406, CVE-2018-2408, CVE-2018-2409, CVE-2018-2410, CVE-2018-2412, CVE-2018-2413

Note : Veuillez noter qu’un compte SAP est nécessaire afin de consulter les notes de sécurités (référence ci-bas).

Mesures Recommandées

Le CCRIC suggère que les administrateurs de systèmes se réfèrent au bulletin de sécurité ci-dessous où SAP explique les détails des vulnérabilités pour chacune d’elle et fournit une mise à jour pour résoudre les problèmes dans chacun de ses produits.

Références (en anglais) :

Note aux lecteurs

En appui à la mission de Sécurité publique Canada de bâtir un Canada sécuritaire et résilient, le mandat du CCRIC est d'aider à assurer la sécurité et la résilience des cybersystèmes essentiels non gouvernementaux à la base de la sécurité nationale, de la sécurité publique et de la prospérité économique du pays. À titre d'équipe d'intervention en cas d'incident lié à la sécurité informatique du Canada, le CCRIC agit comme centre national de coordination pour la prévention, l'atténuation, l'intervention et le rétablissement liés aux incidents cybernétiques commis contre des systèmes non fédéraux. Pour ce faire, il formule des conseils éclairés, offre du soutien et coordonne l'échange de renseignements ainsi que l'intervention.

S'il vous plaît noter que la clé PGP du CCRIC a récemment été mise à jour.
http://www.securitepublique.gc.ca/cnt/ntnl-scrt/cbr-scrt/_fl/CCIRCPublicPGPKey.txt

Pour obtenir des renseignements de nature générale, veuillez communiquer avec la division des Affaires publiques de l'organisme :

Téléphone : 613-944-4875 ou 1-800-830-3118  
Télécopieur : 613-998-9589 
Courriel : ps.communications-communications.sp@canada.ca

Date de modification :