Un site officiel de la Principauté de Monaco

Découvrir l'AMSN

Présentation

Organisation

Rapports d'activité

Stratégie nationale

Contact

Recrutement

S'informer sur la réglementation

Services de Confiance

Opérateur d'Importance Vitale (OIV)

Matériels et Logiciels soumis à autorisation

Sécurité Nationale

Données de santé

Services de Confiance

Schéma de confiance

Liste de confiance

Prestataires de service de confiance

Produits et services qualifiés

Services qualifiés

Produits qualifiés

AVIS CERTFR - 2021 - AVI - 948

AVIS CERT

CERT-FR

Publié le 14 décembre 2021 à 18h40

Objet : Multiples vulnérabilités dans les produits SAP

Référence : CERTFR-2021-AVI-948

Risque(s)

- Exécution de code arbitraire à distance
- Déni de service à distance

Systèmes affectés

- SAP Business Client version 6.5
- SAP Commerce version 2001
- SAP ABAP Server & ABAP Platform (Translation Tools) versions 701, 740,750,751,752,753,754,755,756 et 804
-
SAP S/4HANA versions 1511, 1610, 1709, 1809, 1909, 2020 et 2021
- SAP LT Replication Server versions 2.0 et 3.0
- SAP LTRS for S/4HANA version 1.0
- SAP Test Data Migration Server version 4.0
- SAP Landscape Transformation version 2.0
- SAP Commerce versions 1905, 2005, 2105 et 2011
- SAP Knowledge Warehouse versions 7.30, 7.31, 7.40 et 7.50
- SAP NetWeaver AS ABAP versions 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755 et 756
- SAF-T Framework versions SAP_FIN 617, 618, 720, 730, SAP_APPL 600, 602, 603, 604, 605, 606, S4CORE 102, 103, 104 et 105
- SAP Commerce versions 1905, 2005, 2105 et 2011
- SAP Business One version 10
- SAP Web Dispatcher and Internet Communication Manager versions KRNL32NUC 7.21, 7.21EXT, 7.22, 7.22EXT, KRNL32UC 7.21, 7.21EXT, 7.22, 7.22EXT, KRNL64NUC 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49, KRNL64UC 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49, 7.53, 7.73, WEBDISP 7.53, 7.73, 7.77, 7.81, 7.82, 7.83, KERNEL 7.21, 7.22, 7.49, 7.53, 7.73, 7.77, 7.81, 7.82, 7.83
- SAP 3D Visual Enterprise Viewer version 9
- SAP UI versions 7.5, 7.51, 7.52, 7.53 et 7.54
- SAP UI 700 version 2.0
- SAP BusinessObjects Business Intelligence Platform version 420
- SAP GRC Access Control versions V1100_700, V1100_731 et V1200_750

Résumé

De multiples vulnérabilités ont été découvertes dans les produits SAP. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance et un déni de service à distance.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité SAP du 14 décembre 2021

https://wiki.scn.sap.com/wiki/display/PSR/SAP+Security+Patch+Day+-+December+2021

- Référence CVE CVE-2021-21341

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21341

- Référence CVE CVE-2021-21342

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21342

- Référence CVE CVE-2021-21349

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21349

- Référence CVE CVE-2021-21343

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21343

- Référence CVE CVE-2021-21344

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21344

- Référence CVE CVE-2021-21346

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21346

- Référence CVE CVE-2021-21347

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21347

- Référence CVE CVE-2021-21350

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21350

- Référence CVE CVE-2021-21351

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21351

- Référence CVE CVE-2021-21345

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21345

- Référence CVE CVE-2021-21348

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21348

- Référence CVE CVE-2021-44231

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44231

- Référence CVE CVE-2021-38176

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-38176

- Référence CVE CVE-2021-42064

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-42064

- Référence CVE CVE-2021-42063

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-42063

- Référence CVE CVE-2021-44235

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44235

- Référence CVE CVE-2021-44232

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44232

- Référence CVE CVE-2021-37714

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37714

- Référence CVE CVE-2021-42066

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-42066

- Référence CVE CVE-2021-33683

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33683

- Référence CVE CVE-2021-42068

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-42068

- Référence CVE CVE-2021-42070

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-42070

- Référence CVE CVE-2021-42069

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-42069

- Référence CVE CVE-2019-0388

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0388

- Référence CVE CVE-2021-42061

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-42061

- Référence CVE CVE-2021-44233

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44233

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-948/