CERTFR-2024-AVI-0477_Multiples vulnerabilites dans les produits SAP

Objet : Multiples vulnérabilités dans les produits SAP

Référence : CERTFR-2024-AVI-0477

Risque(s)

- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Déni de service à distance
- Injection de code indirecte à distance (XSS)
- Non spécifié par l'éditeur

Système(s) affecté(s)

- BW/4HANA Transformation et Data Transfer Process versions DW4CORE 200, 300, 400, 796, SAP_BW 740, 750, 751, 752, 753, 754, 755, 756, 757 et 758 sans le dernier correctif de sécurité
- Central Finance Infrastructure Components versions SAP_FIN 720, 730, SAPSCORE 114, S4CORE 100, 101 et 102 sans le dernier correctif de sécurité
- CRM WebClient UI versions S4FND 102, 103, 104, 105, 106, 107, WEBCUIF 700, 701, 730, 731, 746, 747, 748, 800 et 801 sans le dernier correctif de sécurité
- Document Builder versions S4CORE 100, 101, S4FND 102, 103, 104, 105, 106, 107, 108, SAP_BS_FND 702, 731, 746, 747 et 748 sans le dernier correctif de sécurité
- Financial Consolidation version FINANCE 1010 sans le dernier correctif de sécurité
- S/4HANA (Manage Incoming Payment Files) versions S4CORE 102, 103, 104, 105, 106, 107 et 108 sans le dernier correctif de sécurité
- SAP BusinessObjects Business Intelligence Platform versions ENTERPRISE 420, 430 et 440 sans le dernier correctif de sécurité
- SAP NetWeaver Application Server ABAP and ABAP Platform versions SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 795 et SAP_BASIS 796 sans le dernier correctif de sécurité
- SAP NetWeaver Application Server ABAP et ABAP Platform versions ST-PI 2008_1_700, 2008_1_710 et 740 sans le dernier correctif de sécurité
- SAP NetWeaver AS Java version GP-CORE 7.5 sans le dernier correctif de sécurité
- SAP NetWeaver AS Java version MMR_SERVER 7.5 sans le dernier correctif de sécurité
- Student Life Cycle Management versions IS-PS-CA 617, 618, 802, 803, 804, 805, 806, 807 et 808 sans le dernier correctif de sécurité

Résumé

De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer un déni de service à distance, une atteinte à la confidentialité des données et une injection de code indirecte à distance (XSS).

Solution(s)

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation(s)

- Bulletin de sécurité SAP june-2024 du 11 juin 2024
https://support.sap.com/en/my-support/knowledge-base/security-notes-news/june-2024.html
- Référence CVE CVE-2024-28164
https://www.cve.org/CVERecord?id=CVE-2024-28164
- Référence CVE CVE-2024-32733
https://www.cve.org/CVERecord?id=CVE-2024-32733
- Référence CVE CVE-2024-33001
https://www.cve.org/CVERecord?id=CVE-2024-33001
- Référence CVE CVE-2024-34683
https://www.cve.org/CVERecord?id=CVE-2024-34683
- Référence CVE CVE-2024-34684
https://www.cve.org/CVERecord?id=CVE-2024-34684
- Référence CVE CVE-2024-34686
https://www.cve.org/CVERecord?id=CVE-2024-34686
- Référence CVE CVE-2024-34688
https://www.cve.org/CVERecord?id=CVE-2024-34688
- Référence CVE CVE-2024-34690
https://www.cve.org/CVERecord?id=CVE-2024-34690
- Référence CVE CVE-2024-34691
https://www.cve.org/CVERecord?id=CVE-2024-34691
- Référence CVE CVE-2024-37176
https://www.cve.org/CVERecord?id=CVE-2024-37176
- Référence CVE CVE-2024-37177
https://www.cve.org/CVERecord?id=CVE-2024-37177

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0477/