AVIS CERTFR - 2024 - AVI - 0018

Objet : Multiples vulnérabilités dans les produits SAP

Référence : CERTFR-2024-AVI-0018

Risque(s)

- Non spécifié par l'éditeur
- Exécution de code arbitraire à distance
- Déni de service à distance
- Contournement de la politique de sécurité
- Atteinte à la confidentialité des données
- Élévation de privilèges
- Injection de code indirecte à distance (XSS)

Systèmes affectés

- Business Application Studio, Web IDE Full-Stack et Web IDE pour SAP HANA
- Edge Integration Cell versions supérieures ou égales à 8.9.13
- Business Technology Platform (BTP) Security Services Integration Libraries
- Application Interface Framework (File Adapter) version 702
- Web Dispatcher versions WEBDISP 7.53, WEBDISP 7.54, WEBDISP 7.77, WEBDISP 7.85, WEBDISP 7.89, WEBDISP 7.90, WEBDISP 7.94 et WEBDISP 7.95
- NetWeaver AS ABAP et ABAP Platform versions KRNL64UC 7.53, KERNEL 7.53, KERNEL 7.77, KERNEL 7.85, KERNEL 7.89, KERNEL 7.54, KERNEL 7.94, KERNEL 7.93 et KERNEL 7.95
- Microsoft Edge browser extension (SAP GUI connector for Microsoft Edge) version 1.0
- LT Replication Server versions S4CORE 103, S4CORE 104, S4CORE 105, S4CORE 106, S4CORE 107 et S4CORE 108
- S/4HANA Finance (Advanced Payment Management) versions SAPSCORE 128 et S4CORE 10
- NetWeaver AS for Java (Log Viewer) version ENGINEAPI 7.50, SERVERCORE 7.50 et J2EE-APPS 7.50
- NetWeaver ABAP Application Server et ABAP Platform versions SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 793 et SAP_BASIS 79
- NetWeaver (Internet Communication Manager) versions KERNEL 7.22, KERNEL 7.53, KERNEL 7.54, KRNL64UC 7.22, KRNL64UC 7.22EXT, KRNL64UC 7.53, KRNL64NUC 7.22, KRNL64NUC 7.22_EXT, WEBDISP 7.22_EXT, WEBDISP 7.53 et WEBDISP 7.54
- Marketing (Contacts App) version 160

Résumé

De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l'éditeur, une exécution de code arbitraire à distance et un déni de service à distance.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité SAP du 09 janvier 2024
https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1
- Référence CVE CVE-2023-49583
https://www.cve.org/CVERecord?id=CVE-2023-49583
- Référence CVE CVE-2023-50422
https://www.cve.org/CVERecord?id=CVE-2023-50422
- Référence CVE CVE-2023-50423
https://www.cve.org/CVERecord?id=CVE-2023-50423
- Référence CVE CVE-2023-50424
https://www.cve.org/CVERecord?id=CVE-2023-50424
- Référence CVE CVE-2024-21737
https://www.cve.org/CVERecord?id=CVE-2024-21737
- Référence CVE CVE-2023-44487
https://www.cve.org/CVERecord?id=CVE-2023-44487
- Référence CVE CVE-2024-22125
https://www.cve.org/CVERecord?id=CVE-2024-22125
- Référence CVE CVE-2024-21735
https://www.cve.org/CVERecord?id=CVE-2024-21735
- Référence CVE CVE-2024-21736
https://www.cve.org/CVERecord?id=CVE-2024-21736
- Référence CVE CVE-2023-31405
https://www.cve.org/CVERecord?id=CVE-2023-31405
- Référence CVE CVE-2024-21738
https://www.cve.org/CVERecord?id=CVE-2024-21738
- Référence CVE CVE-2024-22124
https://www.cve.org/CVERecord?id=CVE-2024-22124
- Référence CVE CVE-2024-21734
https://www.cve.org/CVERecord?id=CVE-2024-21734

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0018/