Accueil > Alertes CERT-MC > AVIS CERTFR - 2022 - AVI - 345

AVIS CERTFR - 2022 - AVI - 345

Objet : Multiples vulnérabilités dans les produits SAP

Référence : CERTFR-2022-AVI-345

Risque(s)

- Exécution de code arbitraire à distance
- Déni de service à distance
- Contournement de la politique de sécurité
- Atteinte à la confidentialité des données
- Élévation de privilèges
- Injection de code indirecte à distance (XSS)
- Injection de requêtes illégitimes par rebond (CSRF)

Systèmes affectés

- SAP Content Server version 7.53
- SAP NetWeaver et ABAP Platform versions KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT, 7.49
- SAP 3D Visual Enterprise Viewer version 9
- SAP Business Client version 6.5
- SAP BusinessObjects Business Intelligence Platform (BI Workspace) version 420
- SAP BusinessObjects Business Intelligence Platform versions 420, 430
- SAP BusinessObjects Enterprise (Central Management Server) versions 420, 430
- SAP Commerce versions 905, 2005, 2105, 2011
- SAP Customer Checkout_SVR version 2.0
- SAP Customer Checkout version 2.0
- SAP Fiori Launchpad versions 54, 755, 756
- SAP Focused Run (Simple Diagnostics Agent) version 1.0
- SAP HANA Extended Application Services version 1
- SAP Innovation Management version 2
- SAP Manufacturing Integration et Intelligence versions 15.1, 15.2, 15.3, 15.4
- SAP NetWeaver ABAP Server et ABAP Platform versions 740, 750, 787
- SAP NetWeaver Application Server ABAP et ABAP Platform versions 700, 710, 711, 730, 731, 740, 750-756
- SAP NetWeaver Application Server Java versions KRNL64NUC 7.22, 7.22EXT, 7.49, KRNL64UC, 7.22, 7.22EXT, 7.49, 7.53, KERNEL 7.22, 7.49, 7.53
- SAP NetWeaver Application Server pour ABAP (Kernel) et ABAP Platform (Kernel) versions KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT, 7.49
- SAP NetWeaver Application Server pour Java Version 7.50
- SAP NetWeaver Enterprise Portal version 7.10, 7.11, 7.20, 7.30, 7.31, 7.40,7.50
- SAP NetWeaver (EP Web Page Composer) versions 7.20, 7.30, 7.31, 7.40, 7.50
- SAP NetWeaver (Internet Communication Manager, versions KRNL64NUC 7.22, 7.22EXT, 7.49, KRNL64UC 7.22, 7.22EXT, 7.49, 7.53, KERNEL 7.22, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86
- SAP NetWeaver (Internet Communication Manager) versions KRNL64NUC 7.22, 7.22EXT, 7.49, KRNL64UC 7.22, 7.22EXT, 7.49, 7.53, KERNEL 7.22, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86
- SAP Powerdesigner Web Portal version 16.7
- SAPS/4HANA(Supplier Factsheet et Enterprise Search pour Business Partner, Supplier et Customer) versions 104, 105, 106
- SAP SQL Anywhere Server version 17.0
- SAPUI5 (vbm library) versions 750, 753, 754, 755, 756
- SAPUI5, versions 750, 753, 754, 755, 756, 200
- SAP Web Dispatcher versions 7.22, 7.49, 7.53, 7.77, 7.81, 7.83
- SAP Web Dispatcher versions 7.49, 7.53, 7.77, 7.81, 7.85, 7.22EXT, 7.86, 7.87
- SAP Web Dispatcher versions 7.53, 7.77, 7.81, 7.85, 7.86

Résumé

De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité SAP du 12 avril 2022
https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10
- Référence CVE CVE-2022-22536
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22536
- Référence CVE CVE-2021-21480
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21480
- Référence CVE CVE-2022-22965
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22965
- Référence CVE CVE-2021-38162
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-38162
- Référence CVE CVE-2022-27671
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-27671
- Référence CVE CVE-2022-26101
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-26101
- Référence CVE CVE-2022-22532
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22532
- Référence CVE CVE-2022-22533
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22533
- Référence CVE CVE-2022-28214
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-28214
- Référence CVE CVE-2022-28772
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-28772
- Référence CVE CVE-2022-23181
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-23181
- Référence CVE CVE-2022-22541
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22541
- Référence CVE CVE-2022-27655
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-27655
- Référence CVE CVE-2022-26106
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-26106
- Référence CVE CVE-2022-26107
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-26107
- Référence CVE CVE-2022-26109
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-26109
- Référence CVE CVE-2022-27654
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-27654
- Référence CVE CVE-2022-26108
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-26108
- Référence CVE CVE-2022-27670
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-27670
- Référence CVE CVE-2022-28217
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-28217
- Référence CVE CVE-2022-22542
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22542
- Référence CVE CVE-2021-27516
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27516
- Référence CVE CVE-2020-26291
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26291
- Référence CVE CVE-2021-3647
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3647
- Référence CVE CVE-2022-0613
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-0613
- Référence CVE CVE-2022-26105
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-26105
- Référence CVE CVE-2022-28770
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-28770
- Référence CVE CVE-2022-28213
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-28213
- Référence CVE CVE-2022-27667
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-27667
- Référence CVE CVE-2022-27669
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-27669
- Référence CVE CVE-2022-28773
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-28773
- Référence CVE CVE-2022-22545
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22545
- Référence CVE CVE-2022-28215
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-28215
- Référence CVE CVE-2022-27658
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-27658
- Référence CVE CVE-2022-28216
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-28216
- Référence CVE CVE-2021-44832
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44832
- Référence CVE CVE-2022-22543
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22543
- Référence CVE CVE-2022-27657
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-27657

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-345/

AVIS CERTFR - 2022 - AVI - 496

25 mai 2022
actualite

Objet : Multiples vulnérabilités dans le noyau Linux de Red HatRéférence : CERTFR-2022-AVI-496Risque(s)- Exécution de code arbitraire à distanceSys... Lire la suite[+]

AVIS CERTFR - 2022 - AVI - 495

25 mai 2022
actualite

Objet : Multiples vulnérabilités dans le noyau Linux de UbuntuRéférence : CERTFR-2022-AVI-495Risque(s) - Exécution de code arbitraire - Déni de ser... Lire la suite[+]

Contact

Agence Monégasque de Sécurité Numérique
24 rue du Gabian 
98000 MONACO

AMSN_contact@gouv.mc

Téléphone : (+377) 98 98 24 93
Bouton Alertes CSIRT-MC


       INFORMATIONS            PRATIQUES
Demande d'autorisation loi n°1.383
Conseils élémentaires
//amsn.gouv.mc/Alertes-CERT-MC/AVIS-CERTFR-2022-AVI-345