AVIS CERTFR - 2022 - AVI - 345

AVIS CERT

CERT-FR

Publié le 14 avril 2022 à 18h25

Objet : Multiples vulnérabilités dans les produits SAP

Référence : CERTFR-2022-AVI-345

Risque(s)

- Exécution de code arbitraire à distance
- Déni de service à distance
- Contournement de la politique de sécurité
- Atteinte à la confidentialité des données
- Élévation de privilèges
- Injection de code indirecte à distance (XSS)
- Injection de requêtes illégitimes par rebond (CSRF)

Systèmes affectés

- SAP Content Server version 7.53
- SAP NetWeaver et ABAP Platform versions KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT, 7.49
- SAP 3D Visual Enterprise Viewer version 9
- SAP Business Client version 6.5
- SAP BusinessObjects Business Intelligence Platform (BI Workspace) version 420
- SAP BusinessObjects Business Intelligence Platform versions 420, 430
- SAP BusinessObjects Enterprise (Central Management Server) versions 420, 430
- SAP Commerce versions 905, 2005, 2105, 2011
- SAP Customer Checkout_SVR version 2.0
- SAP Customer Checkout version 2.0
- SAP Fiori Launchpad versions 54, 755, 756
- SAP Focused Run (Simple Diagnostics Agent) version 1.0
- SAP HANA Extended Application Services version 1
- SAP Innovation Management version 2
- SAP Manufacturing Integration et Intelligence versions 15.1, 15.2, 15.3, 15.4
- SAP NetWeaver ABAP Server et ABAP Platform versions 740, 750, 787
- SAP NetWeaver Application Server ABAP et ABAP Platform versions 700, 710, 711, 730, 731, 740, 750-756
- SAP NetWeaver Application Server Java versions KRNL64NUC 7.22, 7.22EXT, 7.49, KRNL64UC, 7.22, 7.22EXT, 7.49, 7.53, KERNEL 7.22, 7.49, 7.53
- SAP NetWeaver Application Server pour ABAP (Kernel) et ABAP Platform (Kernel) versions KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT, 7.49
- SAP NetWeaver Application Server pour Java Version 7.50
- SAP NetWeaver Enterprise Portal version 7.10, 7.11, 7.20, 7.30, 7.31, 7.40,7.50
- SAP NetWeaver (EP Web Page Composer) versions 7.20, 7.30, 7.31, 7.40, 7.50
- SAP NetWeaver (Internet Communication Manager, versions KRNL64NUC 7.22, 7.22EXT, 7.49, KRNL64UC 7.22, 7.22EXT, 7.49, 7.53, KERNEL 7.22, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86
- SAP NetWeaver (Internet Communication Manager) versions KRNL64NUC 7.22, 7.22EXT, 7.49, KRNL64UC 7.22, 7.22EXT, 7.49, 7.53, KERNEL 7.22, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86
- SAP Powerdesigner Web Portal version 16.7
- SAPS/4HANA(Supplier Factsheet et Enterprise Search pour Business Partner, Supplier et Customer) versions 104, 105, 106
- SAP SQL Anywhere Server version 17.0
- SAPUI5 (vbm library) versions 750, 753, 754, 755, 756
- SAPUI5, versions 750, 753, 754, 755, 756, 200
- SAP Web Dispatcher versions 7.22, 7.49, 7.53, 7.77, 7.81, 7.83
- SAP Web Dispatcher versions 7.49, 7.53, 7.77, 7.81, 7.85, 7.22EXT, 7.86, 7.87
- SAP Web Dispatcher versions 7.53, 7.77, 7.81, 7.85, 7.86

Résumé

De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-345/