Accueil > Alertes CERT-MC > AVIS CERTFR - 2023 - AVI - 0019

AVIS CERTFR - 2023 - AVI - 0019

Objet : Multiples vulnérabilités dans les produits SAP

Référence : CERTFR-2023-AVI-0019

Risque(s)

- Exécution de code arbitraire à distance
- Contournement de la politique de sécurité
- Atteinte à la confidentialité des données
- Élévation de privilèges
- Injection de code indirecte à distance (XSS)

Systèmes affectés

- SAP BPC MS 10.0 versions 800 et 810
- SAP BusinessObjects Business Intelligence platform (Analysis edition pour OLAP) versions 420 et 430
- SAP NetWeaver Process Integration version 7.50
- SAP BusinessObjects Business Intelligence Platform (Central Management Console et BI Launchpad) versions 4.2 et 4.3
- SAP NetWeaver Process Integration version 7.50
- SAP NetWeaver AS for Java version 7.50
- SAP NetWeaver ABAP Server et ABAP Platform versions SAP_BASIS 700, 701, 702,710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, KERNEL 7.22, 7.53, 7.77, 7.81, 7.85, 7.89, KRNL64UC 7.22, 7.22EXT, 7.53, KRNL64NUC 7.22 et 7.22EXT
- SAP Host Agent (Windows) versions 7.21 et 7.22
- SAP NetWeaver AS pour ABAP et ABAP Platform versions 702, 731, 740, 750, 751, 752, 753, 754, 755, 756 et 757
- SAP BusinessObjects Business Intelligence Platform (Central management console) versions 420 et 430
- SAP BusinessObjects Business Intelligence Platform version 420
- SAP Bank Account Management (Manage Banks) versions 800 et 900

Résumé

De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un contournement de la politique de sécurité et une atteinte à la confidentialité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité SAP du 10 janvier 2023
https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1
- Référence CVE CVE-2023-0016
https://www.cve.org/CVERecord?id=CVE-2023-0016
- Référence CVE CVE-2023-0022
https://www.cve.org/CVERecord?id=CVE-2023-0022
- Référence CVE CVE-2022-41272
https://www.cve.org/CVERecord?id=CVE-2022-41272
- Référence CVE CVE-2022-41203
https://www.cve.org/CVERecord?id=CVE-2022-41203
- Référence CVE CVE-2022-41271
https://www.cve.org/CVERecord?id=CVE-2022-41271
- Référence CVE CVE-2023-0017
https://www.cve.org/CVERecord?id=CVE-2023-0017
- Référence CVE CVE-2023-0014
https://www.cve.org/CVERecord?id=CVE-2023-0014
- Référence CVE CVE-2023-0012
https://www.cve.org/CVERecord?id=CVE-2023-0012
- Référence CVE CVE-2023-0013
https://www.cve.org/CVERecord?id=CVE-2023-0013
- Référence CVE CVE-2023-0018
https://www.cve.org/CVERecord?id=CVE-2023-0018
- Référence CVE CVE-2023-0015
https://www.cve.org/CVERecord?id=CVE-2023-0015
- Référence CVE CVE-2023-0023
https://www.cve.org/CVERecord?id=CVE-2023-0023

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0019/

AVIS CERTFR - 2023 - AVI - 0063

26 janvier 2023
actualite

Objet : Vulnérabilité dans GrafanaRéférence : CERTFR-2023-AVI-0063Risque(s)- Élévation de privilègesSystèmes affectés - Grafana versions 9.3.x anté... Lire la suite[+]

AVIS CERTFR - 2023 - AVI - 0062

26 janvier 2023
actualite

Objet : Vulnérabilité dans Xen libxlRéférence : CERTFR-2023-AVI-0062Risque(s)- Déni de service à distanceSystèmes affectés- Xen versions 4.17.x san... Lire la suite[+]

Contact

Agence Monégasque de Sécurité Numérique
24 rue du Gabian 
98000 MONACO

AMSN_contact@gouv.mc

Téléphone : (+377) 98 98 24 93
Bouton Alertes CSIRT-MC


       INFORMATIONS            PRATIQUES
Demande d'autorisation loi n°1.383
Conseils élémentaires
//amsn.gouv.mc/Alertes-CERT-MC/AVIS-CERTFR-2023-AVI-0019