AVIS CERTFR - 2023 - AVI - 0228
Publié le 15 mars 2023 à 20h39 - Mis à jour le 15 mars 2023 à 20h43
Objet : Multiples vulnérabilités dans SAP les produits SAP
Référence : CERTFR-2023-AVI-0228
Risque(s)
- Exécution de code arbitraire à distance
- Contournement de la politique de sécurité
- Atteinte à la confidentialité des données
- Injection de code indirecte à distance (XSS)
- Non spécifié par l'éditeur
- Déni de service à distance
Systèmes affectés
- ABAP Platform versions 751, 753, 753, 754, 756, 757 et 791
- Authenticator pour Android version 1.3.0
- Business Objects (Adaptive Job Server) versions 420 et 430
- Business Objects Business Intelligence Platform (CMC) versions 420et 430
- BusinessObjects Business Intelligence Platform (Web Services) versions 420 et 430
- Content Server version 7.53
- Host Agent version 7.22
- NetWeaver AS Java (Object Analyzing Service) version 7.50
- NetWeaver AS pour ABAP et ABAP Platform (SAPRSBRO Program) versions 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756 et 757
- NetWeaver AS pour ABAP et ABAP Platform versions 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757 et 791
- NetWeaver AS pour ABAP et ABAP Platform versions SAP_BASIS 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757 et 791
- NetWeaver AS pour Java version 7.50
- NetWeaver Application Server pour ABAP et ABAP Platform versions 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757 et 791
- NetWeaver versions 700, 701, 702, 731, 740 et 750
- NetWeaver(SAP Enterprise Portal) versions 7.50
- Solution Manager et ABAP managed systems(ST-PI) versions 2008_1_700, 2008_1_710 et 740
Résumé
De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un contournement de la politique de sécurité et une atteinte à l'intégrité des données.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité SAP du 14 mars 2023
https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1
- Référence CVE CVE-2023-25616
https://www.cve.org/CVERecord?id=CVE-2023-25616
- Référence CVE CVE-2023-23857
https://www.cve.org/CVERecord?id=CVE-2023-23857
- Référence CVE CVE-2023-27269
https://www.cve.org/CVERecord?id=CVE-2023-27269
- Référence CVE CVE-2023-27500
https://www.cve.org/CVERecord?id=CVE-2023-27500
- Référence CVE CVE-2023-25617
https://www.cve.org/CVERecord?id=CVE-2023-25617
- Référence CVE CVE-2023-27893
https://www.cve.org/CVERecord?id=CVE-2023-27893
- Référence CVE CVE-2023-27501
https://www.cve.org/CVERecord?id=CVE-2023-27501
- Référence CVE CVE-2023-26459
https://www.cve.org/CVERecord?id=CVE-2023-26459
- Référence CVE CVE-2023-25618
https://www.cve.org/CVERecord?id=CVE-2023-25618
- Référence CVE CVE-2023-27498
https://www.cve.org/CVERecord?id=CVE-2023-27498
- Référence CVE CVE-2023-26461
https://www.cve.org/CVERecord?id=CVE-2023-26461
- Référence CVE CVE-2023-25615
https://www.cve.org/CVERecord?id=CVE-2023-25615
- Référence CVE CVE-2023-27270
https://www.cve.org/CVERecord?id=CVE-2023-27270
- Référence CVE CVE-2023-27271
https://www.cve.org/CVERecord?id=CVE-2023-27271
- Référence CVE CVE-2023-27896
https://www.cve.org/CVERecord?id=CVE-2023-27896
- Référence CVE CVE-2023-27894
https://www.cve.org/CVERecord?id=CVE-2023-27894
- Référence CVE CVE-2023-26457
https://www.cve.org/CVERecord?id=CVE-2023-26457
- Référence CVE CVE-2023-27895
https://www.cve.org/CVERecord?id=CVE-2023-27895
- Référence CVE CVE-2023-0021
https://www.cve.org/CVERecord?id=CVE-2023-0021
- Référence CVE CVE-2023-27268
https://www.cve.org/CVERecord?id=CVE-2023-27268
- Référence CVE CVE-2023-26460
https://www.cve.org/CVERecord?id=CVE-2023-26460
- Référence CVE CVE-2023-24526
https://www.cve.org/CVERecord?id=CVE-2023-24526
Dernière version du document