CERTFR-2024-AVI-0395_Multiples vulnerabilites dans les produits SAP

Objet : Multiples vulnérabilités dans les produits SAP

Référence : CERTFR-2024-AVI-0395

Risque(s)

- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Déni de service à distance
- Exécution de code arbitraire à distance
- Injection de code indirecte à distance (XSS)
- Non spécifié par l'éditeur

Systèmes affectés

- AP Bank Account Management versions 100, 101, 102, 103, 104, 105, 106, 107 et 108 sans le dernier correctif de sécurité
- AP BusinessObjects Business Intelligence Platform (Webservices) versions 430 et 440 sans le dernier correctif de sécurité
- AP Global Label Management (GLM) versions 605, 606, 616 et 617 sans le dernier correctif de sécurité
- AP Replication Server versions 16.0, 16.0.3 et 16.0.4 sans le dernier correctif de sécurité
- AP S/4 HANA (Manage Bank Statement Reprocessing Rules) versions SAPSCORE 131, S4CORE 105, S4CORE 106, S4CORE107 et S4CORE 108 sans le dernier correctif de sécurité
- Business Client versions 6.5, 7.0 et 7.70 sans le dernier correctif de sécurité
- BusinessObjects (Business Intelligence Platform) versions 430 et 440 sans le dernier correctif de sécurité
- Commerce version HY_COM 2205 sans le dernier correctif de sécurité
- Enable Now version 1704 sans le dernier correctif de sécurité
- My Travel Requests version 600 sans le dernier correctif de sécurité
- NetWeaver Application server for ABAP and ABAP Platform versions SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 795 et SAP_BASIS 796 sans le dernier correctif de sécurité
- S/4HANA (Document Service Handler for DPS) versions SAP_BASIS 740 et SAP_BASIS 750 sans le dernier correctif de sécurité
- SAPUI5 versions 754, 755, 756, 757 et 758 sans le dernier correctif de sécurité

Résumé

De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l'éditeur, une exécution de code arbitraire à distance et un déni de service à distance.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité SAP du 14 mai 2024
https://support.sap.com/en/my-support/knowledge-base/security-notes-news/may-2024.html
- Référence CVE CVE-2019-17495
https://www.cve.org/CVERecord?id=CVE-2019-17495
- Référence CVE CVE-2022-36364
https://www.cve.org/CVERecord?id=CVE-2022-36364
- Référence CVE CVE-2024-28165
https://www.cve.org/CVERecord?id=CVE-2024-28165
- Référence CVE CVE-2024-32730
https://www.cve.org/CVERecord?id=CVE-2024-32730
- Référence CVE CVE-2024-32731
https://www.cve.org/CVERecord?id=CVE-2024-32731
- Référence CVE CVE-2024-32733
https://www.cve.org/CVERecord?id=CVE-2024-32733
- Référence CVE CVE-2024-33000
https://www.cve.org/CVERecord?id=CVE-2024-33000
- Référence CVE CVE-2024-33002
https://www.cve.org/CVERecord?id=CVE-2024-33002
- Référence CVE CVE-2024-33004
https://www.cve.org/CVERecord?id=CVE-2024-33004
- Référence CVE CVE-2024-33006
https://www.cve.org/CVERecord?id=CVE-2024-33006
- Référence CVE CVE-2024-33007
https://www.cve.org/CVERecord?id=CVE-2024-33007
- Référence CVE CVE-2024-33008
https://www.cve.org/CVERecord?id=CVE-2024-33008
- Référence CVE CVE-2024-33009
https://www.cve.org/CVERecord?id=CVE-2024-33009
- Référence CVE CVE-2024-34687
https://www.cve.org/CVERecord?id=CVE-2024-34687
- Référence CVE CVE-2024-4138
https://www.cve.org/CVERecord?id=CVE-2024-4138
- Référence CVE CVE-2024-4139
https://www.cve.org/CVERecord?id=CVE-2024-4139

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0395/