Accueil > Avis de sécurité du CERT-MC et du CERT-FR > AVIS CERTFR - 2023 - AVI - 0737

AVIS CERTFR - 2023 - AVI - 0737

Objet : Multiples vulnérabilités dans les produits SAP

Référence : CERTFR-2023-AVI-0737

Risque(s)

- Non spécifié par l'éditeur
- Exécution de code arbitraire à distance
- Déni de service à distance
- Contournement de la politique de sécurité
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Injection de code indirecte à distance (XSS)

Systèmes affectés

- SAP Business Client versions 6.5, 7.0 et 7.70
- SAP BusinessObjects Business Intelligence Platform (Promotion Management) versions 420 et 430
- SAP NetWeaver Process Integration versions 7.50
- SAP Business Objects Business Intelligence Platform (CMC) versions 420 et 430
- SAP BusinessObjects Business Intelligence Platform (Web Intelligence HTML interface) versions 420
- SAP NetWeaver AS ABAP, SAP NetWeaver AS Java and ABAP Platform of S/4HANA on-premise versions KERNEL 7.22, KERNEL 7.53, KERNEL 7.54, KERNEL 7.77, KERNEL 7.85, KERNEL 7.89, KERNEL 7.91, KERNEL 7.92, KERNEL 7.93, KERNEL 7.22, KERNEL 8.04, KERNEL64UC 7.22, KERNEL64UC 7.22EXT, KERNEL64UC 7.53, KERNEL64UC 8.04, KERNEL64NUC 7.22 et KERNEL64NUC 7.22EXT
- SAP Web Dispatcher versions 7.22EXT, 7.53, 7.54, 7.77, 7.85, 7.89
- SAPContent Server versions 6.50, 7.53, 7.54
- SAPHANA Database versions 2.0
- SAPHost Agent versions 722
- SAPExtended Application Services and Runtime (XSA) versions SAP_EXTENDED_APP_SERVICES 1, , XS_ADVANCED_RUNTIME 1.00
- SAPSSOEXT versions 17
- SAP PowerDesignerClient versions 16.7
- Product-SAP BusinessObjects Suite (Installer) versions 420 et 430
- SAP S/4HANA (Manage Catalog Items and Cross-Catalog search) versions S4CORE 103, S4CORE 104, S4CORE 105 et S4CORE 106
- SAPUI5 versions SAP_UI 750, SAP_UI 753, SAP_UI 754, SAP_UI 755, SAP_UI 756 et UI_700 200
- SAP Quotation Management Insurance (FS-QUO) versions 400, 510, 700 et 800
- SAP NetWeaver AS ABAP (applications based on Unified Rendering) versions SAP_UI 754, SAP_UI 755, SAP_UI 756, SAP_UI 757, SAP_UI 758, SAP_BASIS 702 et SAP_BASIS 731
- S4CORE (Manage Purchase Contracts App) versions 102, 103, 104, 105, 106 et 107
- SAP BusinessObjects Business Intelligence Platform (versions Management System) versions 430
- SAP NetWeaver (Guided Procedures) versions 7.50
- SAP S/4HANA (Create Single Payment application) versions 100, 101, 102, 103, 104, 105, 106, 107 et 108
- S4 HANA ABAP (Manage checkbook apps) versions 102, 103, 104, 105, 106 et 107

Résumé

De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l'éditeur, une exécution de code arbitraire à distance et un déni de service à distance.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité SAP du 12 septembre 2023
https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1&d=2023-09-13
- Référence CVE CVE-2023-40622
https://www.cve.org/CVERecord?id=CVE-2023-40622
- Référence CVE CVE-2022-41272
https://www.cve.org/CVERecord?id=CVE-2022-41272
- Référence CVE CVE-2023-25616
https://www.cve.org/CVERecord?id=CVE-2023-25616
- Référence CVE CVE-2023-40309
https://www.cve.org/CVERecord?id=CVE-2023-40309
- Référence CVE CVE-2023-42472
https://www.cve.org/CVERecord?id=CVE-2023-42472
- Référence CVE CVE-2023-40308
https://www.cve.org/CVERecord?id=CVE-2023-40308
- Référence CVE CVE-2023-40621
https://www.cve.org/CVERecord?id=CVE-2023-40621
- Référence CVE CVE-2023-40623
https://www.cve.org/CVERecord?id=CVE-2023-40623
- Référence CVE CVE-2023-40306
https://www.cve.org/CVERecord?id=CVE-2023-40306
- Référence CVE CVE-2021-41184
https://www.cve.org/CVERecord?id=CVE-2021-41184
- Référence CVE CVE-2021-41183
https://www.cve.org/CVERecord?id=CVE-2021-41183
- Référence CVE CVE-2021-41182
https://www.cve.org/CVERecord?id=CVE-2021-41182
- Référence CVE CVE-2023-24998
https://www.cve.org/CVERecord?id=CVE-2023-24998
- Référence CVE CVE-2023-40624
https://www.cve.org/CVERecord?id=CVE-2023-40624
- Référence CVE CVE-2023-40625
https://www.cve.org/CVERecord?id=CVE-2023-40625
- Référence CVE CVE-2023-37489
https://www.cve.org/CVERecord?id=CVE-2023-37489
- Référence CVE CVE-2023-41367
https://www.cve.org/CVERecord?id=CVE-2023-41367
- Référence CVE CVE-2023-41369
https://www.cve.org/CVERecord?id=CVE-2023-41369
- Référence CVE CVE-2023-41368
https://www.cve.org/CVERecord?id=CVE-2023-41368

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0737/

CERTFR-2024-AVI-0180_Multiples vulnerabilites dans les produits IBM

01 mars 2024
actualite

Objet : Multiples vulnérabilités dans les produits IBMRéférence : CERTFR-2024-AVI-0180Risque(s) - Atteinte à l'intégrité des données - Atteinte à l... Lire la suite[+]

CERTFR-2024-AVI-0179_Multiples vulnerabilites dans le noyau Linux de SUSE

01 mars 2024
actualite

Objet : Multiples vulnérabilités dans le noyau Linux de SUSERéférence : CERTFR-2024-AVI-0179Risque(s) - Contournement de la politique de sécurité -... Lire la suite[+]

Contact

Agence Monégasque de Sécurité Numérique
24 rue du Gabian 
98000 MONACO

AMSN_contact@gouv.mc

Téléphone : (+377) 98 98 24 93


Bouton Alertes CSIRT-MC


       INFORMATIONS            PRATIQUES
Demande d'autorisation loi n°1.383
Conseils élémentaires
//amsn.gouv.mc/Avis-de-securite-du-CERT-MC-et-du-CERT-FR/AVIS-CERTFR-2023-AVI-0737