Accueil > Avis de sécurité du CERT-MC et du CERT-FR > AVIS CERTFR - 2023 - AVI - 1020

AVIS CERTFR - 2023 - AVI - 1020

Objet : Multiples vulnérabilités dans les produits SAP

Référence : CERTFR-2023-AVI-1020

Risque(s)

- Non spécifié par l'éditeur
- Exécution de code arbitraire à distance
- Déni de service à distance
- Contournement de la politique de sécurité
- Atteinte à la confidentialité des données
- Élévation de privilèges
- Injection de code indirecte à distance (XSS)

Systèmes affectés

- SAP Business Client versions 6.5, 7.0 et 7.7
- Librairie @sap/xssec versions antérieures à 3.6.0
- Librairie cloud-security-services-integration-library versions antérieures à 2.17.0
- Librairie cloud-security-services-integration-library versions 3.3.x antérieures à 3.3.0
- Librairie sap-xssec versions antérieures à 4.1.0
- Librairie github.com/sap/cloud-security-client-go versions antérieures à 0.17.0
- SAP ECC et SAP S/4HANA (IS-OIL) versions 600, 602, 603, 604, 605, 606, 617, 618, 800, 802, 803, 804, 805, 806 et 807
- SAP ECC et SAP S/4HANA (IS-OIL) versions 600, 602, 603, 604, 605, 606, 617, 618, 800, 802, 803, 804, 805, 806 et 807
- SAP Commerce Cloud version 8.1
- Business Objects BI Platform versions 420 et 430
- SAP GUI pour Windows et SAP GUI pour Java versions SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757 et SAP_BASIS 758
- SAP EMARSYS SDK ANDROID version 3.6.2
- SAP BusinessObjects Web Intelligence version 420
- SAP Solution Manager version 720
- SAP Biller Direct versions 635 et 750
- SAP HCM (SMART PAYE solution) versions S4HCMCIE 100, SAP_HRCIE 600, SAP_HRCIE 604 et SAP_HRCIE 608
- SAPUI5 versions SAP_UI 750, SAP_UI 753, SAP_UI 754, SAP_UI 755, SAP_UI 756 et UI_700 200
- SAP Fiori Launchpad versions SAP_UI 750, SAP_UI 754, SAP_UI 755, SAP_UI 756, SAP_UI 757, SAP_UI 758, UI_700 200 et SAP_BASIS 793
- SAP NetWeaver Application Server ABAP et ABAP Platform versions SAP_BASIS 700, SAP_BASIS731, SAP_BASIS740 et SAP_BASIS750
- SAP Master Data Governance versions 731, 732, 746, 747, 748, 749, 800, 751,752,801,802, 803, 804, 805, 806, 807 et 808
- SAP_BS_FND version 702
- SAP Cloud Connector version 2.0

Résumé

De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l'éditeur, une exécution de code arbitraire à distance et un déni de service à distance.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité SAP ucQrx6G du 12 décembre 2023
https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1
- Référence CVE CVE-2023-49583
https://www.cve.org/CVERecord?id=CVE-2023-49583
- Référence CVE CVE-2023-50422
https://www.cve.org/CVERecord?id=CVE-2023-50422
- Référence CVE CVE-2023-50423
https://www.cve.org/CVERecord?id=CVE-2023-50423
- Référence CVE CVE-2023-50424
https://www.cve.org/CVERecord?id=CVE-2023-50424
- Référence CVE CVE-2023-36922
https://www.cve.org/CVERecord?id=CVE-2023-36922
- Référence CVE CVE-2023-42481
https://www.cve.org/CVERecord?id=CVE-2023-42481
- Référence CVE CVE-2023-42478
https://www.cve.org/CVERecord?id=CVE-2023-42478
- Référence CVE CVE-2023-49580
https://www.cve.org/CVERecord?id=CVE-2023-49580
- Référence CVE CVE-2023-6542
https://www.cve.org/CVERecord?id=CVE-2023-6542
- Référence CVE CVE-2023-42476
https://www.cve.org/CVERecord?id=CVE-2023-42476
- Référence CVE CVE-2023-49587
https://www.cve.org/CVERecord?id=CVE-2023-49587
- Référence CVE CVE-2023-42479
https://www.cve.org/CVERecord?id=CVE-2023-42479
- Référence CVE CVE-2023-49577
https://www.cve.org/CVERecord?id=CVE-2023-49577
- Référence CVE CVE-2021-23413
https://www.cve.org/CVERecord?id=CVE-2021-23413
- Référence CVE CVE-2023-49584
https://www.cve.org/CVERecord?id=CVE-2023-49584
- Référence CVE CVE-2023-49581
https://www.cve.org/CVERecord?id=CVE-2023-49581
- Référence CVE CVE-2023-49058
https://www.cve.org/CVERecord?id=CVE-2023-49058
- Référence CVE CVE-2023-49578
https://www.cve.org/CVERecord?id=CVE-2023-49578

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-1020/

CERTFR-2024-AVI-0180_Multiples vulnerabilites dans les produits IBM

01 mars 2024
actualite

Objet : Multiples vulnérabilités dans les produits IBMRéférence : CERTFR-2024-AVI-0180Risque(s) - Atteinte à l'intégrité des données - Atteinte à l... Lire la suite[+]

CERTFR-2024-AVI-0179_Multiples vulnerabilites dans le noyau Linux de SUSE

01 mars 2024
actualite

Objet : Multiples vulnérabilités dans le noyau Linux de SUSERéférence : CERTFR-2024-AVI-0179Risque(s) - Contournement de la politique de sécurité -... Lire la suite[+]

Contact

Agence Monégasque de Sécurité Numérique
24 rue du Gabian 
98000 MONACO

AMSN_contact@gouv.mc

Téléphone : (+377) 98 98 24 93


Bouton Alertes CSIRT-MC


       INFORMATIONS            PRATIQUES
Demande d'autorisation loi n°1.383
Conseils élémentaires
//amsn.gouv.mc/Avis-de-securite-du-CERT-MC-et-du-CERT-FR/AVIS-CERTFR-2023-AVI-1020