CERTFR-2024-AVI-0671_Multiples vulnerabilites dans les produits SAP
Objet : Multiples vulnérabilités dans les produits SAP
Référence : CERTFR-2024-AVI-0671
Risque(s)
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Déni de service à distance
- Exécution de code arbitraire à distance
- Injection de code indirecte à distance (XSS)
- Non spécifié par l'éditeur
Système(s) affecté(s)
- Bank Account Management (Manage Banks) versions 800 et 900 sans le dernier correctif de sécurité
- BEx Web Java Runtime Export Web Service versions BI-BASE-E 7.5, BI-BASE-B 7.5, BI-IBC 7.5, BI-BASE-S 7.5 et BIWEBAPP 7.5 sans le dernier correctif de sécurité
- Build Apps version 4.11.130 sans le dernier correctif de sécurité
- Business Warehouse - Business Planning and Simulation versions SAP_BW 700, 701, 702, 730, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, 758 et SAP_BW_VIRTUAL_COMP 701 sans le dernier correctif de sécurité
- Business Workflow (WebFlow Services) versions SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757 et SAP_BASIS 758 sans le dernier correctif de sécurité
- BusinessObjects Business Intelligence Platform versions ENTERPRISE 420, 430 et 440 sans le dernier correctif de sécurité
- BusinessObjects Business Intelligence Platform versions ENTERPRISE 430 et 440 sans le dernier correctif de sécurité
- BW/4HANA Transformation and Data Transfer Process versions DW4CORE 200, 300, 400, 796, SAP_BW 740, 750, 751, 752, 753, 754, 755, 756, 757 et 758 sans le dernier correctif de sécurité
- Commerce Backoffice version HY_COM 2205 sans le dernier correctif de sécurité
- Commerce Cloud versions HY_COM 1808, 1811, 1905, 2005, 2105, 2011, 2205 et COM_CLOUD 2211 sans le dernier correctif de sécurité
- Commerce versions HY_COM 2205 et COM_CLOUD 2211 sans le dernier correctif de sécurité
- CRM ABAP (Insights Management) versions BBPCRM 700, 701, 702, 712, 713 et 714 sans le dernier correctif de sécurité
- Document Builder versions S4CORE 100, 101, S4FND 102, 103, 104, 105, 106, 107, 108, SAP_BS_FND 702, 731, 746, 747 et 748 sans le dernier correctif de sécurité
- Document Builder versions S4FND 102, S4FND 103, S4FND 104, S4FND 105, S4FND 106, S4FND 107, S4FND 108, SAP_BS_FND 702, SAP_BS_FND 731, SAP_BS_FND 746, SAP_BS_FND 747 et SAP_BS_FND 748 sans le dernier correctif de sécurité
- Landscape Management version VCM 3.00 sans le dernier correctif de sécurité
- NetWeaver Application Server (ABAP and Java), Web Dispatcher and Content Server versions KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, WEBDISP 7.53, 7.77, 7.85, 7.22_EXT, 7.89, 7.54, 7.93, KERNEL 7.22, 7.53, 7.77, 7.85, 7.89, 7.54 et 7.93 sans le dernier correctif de sécurité
- NetWeaver Application Server ABAP and ABAP Platform versions SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758 et SAP_BASIS 912 sans le dernier correctif de sécurité
- NetWeaver Application Server ABAP versions SAP_UI 754, 755, 756, 757, 758, SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731 et SAP_BASIS 912 sans le dernier correctif de sécurité
- NetWeaver Application Server for ABAP and ABAP Platform versions SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757 et SAP_BASIS 758 sans le dernier correctif de sécurité
- NetWeaver AS Java version MMR_SERVER 7.5 sans le dernier correctif de sécurité
- Permit to Work versions UIS4HOP1 800 et 900 sans le dernier correctif de sécurité
- Replication Server versions 16.0.3 et 16.0.4Â sans le dernier correctif de sécurité
- Shared Service Framework versions SAP_BS_FND 702, 731, 746, 747 et 748 sans le dernier correctif de sécurité
- Student Life Cycle Management (SLcM) versions IS-PS-CA 617, 618, 802, 803, 804, 805, 806, 807 et 808 sans le dernier correctif de sécurité
Résumé
De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à la confidentialité des données.
Solution(s)
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation(s)
- Bulletin de sécurité SAP august-2024 du 13 août 2024
https://support.sap.com/en/my-support/knowledge-base/security-notes-news/august-2024.html
- Référence CVE CVE-2022-0778
https://www.cve.org/CVERecord?id=CVE-2022-0778
- Référence CVE CVE-2023-0023
https://www.cve.org/CVERecord?id=CVE-2023-0023
- Référence CVE CVE-2023-0215
https://www.cve.org/CVERecord?id=CVE-2023-0215
- Référence CVE CVE-2023-0286
https://www.cve.org/CVERecord?id=CVE-2023-0286
- Référence CVE CVE-2023-30533
https://www.cve.org/CVERecord?id=CVE-2023-30533
- Référence CVE CVE-2024-28166
https://www.cve.org/CVERecord?id=CVE-2024-28166
- Référence CVE CVE-2024-29415
https://www.cve.org/CVERecord?id=CVE-2024-29415
- Référence CVE CVE-2024-33003
https://www.cve.org/CVERecord?id=CVE-2024-33003
- Référence CVE CVE-2024-33005
https://www.cve.org/CVERecord?id=CVE-2024-33005
- Référence CVE CVE-2024-34683
https://www.cve.org/CVERecord?id=CVE-2024-34683
- Référence CVE CVE-2024-34688
https://www.cve.org/CVERecord?id=CVE-2024-34688
- Référence CVE CVE-2024-34689
https://www.cve.org/CVERecord?id=CVE-2024-34689
- Référence CVE CVE-2024-37176
https://www.cve.org/CVERecord?id=CVE-2024-37176
- Référence CVE CVE-2024-37180
https://www.cve.org/CVERecord?id=CVE-2024-37180
- Référence CVE CVE-2024-39591
https://www.cve.org/CVERecord?id=CVE-2024-39591
- Référence CVE CVE-2024-39593
https://www.cve.org/CVERecord?id=CVE-2024-39593
- Référence CVE CVE-2024-39594
https://www.cve.org/CVERecord?id=CVE-2024-39594
- Référence CVE CVE-2024-41730
https://www.cve.org/CVERecord?id=CVE-2024-41730
- Référence CVE CVE-2024-41731
https://www.cve.org/CVERecord?id=CVE-2024-41731
- Référence CVE CVE-2024-41732
https://www.cve.org/CVERecord?id=CVE-2024-41732
- Référence CVE CVE-2024-41733
https://www.cve.org/CVERecord?id=CVE-2024-41733
- Référence CVE CVE-2024-41734
https://www.cve.org/CVERecord?id=CVE-2024-41734
- Référence CVE CVE-2024-41735
https://www.cve.org/CVERecord?id=CVE-2024-41735
- Référence CVE CVE-2024-41736
https://www.cve.org/CVERecord?id=CVE-2024-41736
- Référence CVE CVE-2024-41737
https://www.cve.org/CVERecord?id=CVE-2024-41737
- Référence CVE CVE-2024-42373
https://www.cve.org/CVERecord?id=CVE-2024-42373
- Référence CVE CVE-2024-42374
https://www.cve.org/CVERecord?id=CVE-2024-42374
- Référence CVE CVE-2024-42375
https://www.cve.org/CVERecord?id=CVE-2024-42375
- Référence CVE CVE-2024-42376
https://www.cve.org/CVERecord?id=CVE-2024-42376
Dernière version du document