AVIS CERTFR - 2023 - AVI - 0635

AVIS CERT
CERT-FR

Publié le 9 août 2023 à 17h57

Objet : Multiples vulnérabilités dans les produits SAP

Référence : CERTFR-2023-AVI-0635

Risque(s)

- Non spécifié par l'éditeur
- Exécution de code arbitraire à distance
- Déni de service à distance
- Contournement de la politique de sécurité
- Atteinte à la confidentialité des données
- Injection de code indirecte à distance (XSS)

Systèmes affectés

- PowerDesigner version 16.7
- ECC et SAP S/4HANA (IS-OIL) versions 600, 602, 603, 604, 605, 606, 617, 618, 800, 802, 803, 804, 805, 806 et 807
- Commerce versions HY_COM 2105, HY_COM 2205 et COM_CLOUD 2211
- NetWeaver (BI CONT ADD ON) versions 707, 737, 747 et 757
- PowerDesigner version 16.7
- Business One version 10.0
- BusinessObjects Business Intelligence (installer) versions 420 et 430
- BusinessObjects Business Intelligence Platform version 420
- Message Server versions KERNEL 7.22, KERNEL 7.53, KERNEL 7.54, KERNEL 7.77, RNL64UC 7.22, RNL64UC 7.22EXT, RNL64UC 7.53, KRNL64NUC 7.22 et KRNL64NUC 7.22EX
- Business One (B1i Layer) version 10.0
- Supplier Relationship Management versions 600, 602, 603, 604, 605, 606, 616 et 617
- NetWeaver Process Integration versions SAP_XIESR 7.50, SAP_XITOOL 7.50 et SAP_XIAF 7.50
- Commerce (OCC API) versions HY_COM 2105, HY_COM 2205 et COM_CLOUD 2211
- Supplier Relationship Management versions 600, 602, 603, 604, 605, 606, 616 et 617
- Business One (Service Layer) version 10.0
- NetWeaver AS ABAP et ABAP Platform versions SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 793 et SAP_BASIS 804
- BusinessObjects Business Intelligence Platform versions 430

Résumé

De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l'éditeur, une exécution de code arbitraire à distance et un déni de service à distance.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité SAP du 08 août 2023

https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1

- Référence CVE CVE-2023-37483

https://www.cve.org/CVERecord?id=CVE-2023-37483

- Référence CVE CVE-2023-37484

https://www.cve.org/CVERecord?id=CVE-2023-37484

- Référence CVE CVE-2023-36922

https://www.cve.org/CVERecord?id=CVE-2023-36922

- Référence CVE CVE-2023-39439

https://www.cve.org/CVERecord?id=CVE-2023-39439

- Référence CVE CVE-2023-33989

https://www.cve.org/CVERecord?id=CVE-2023-33989

- Référence CVE CVE-2023-36923

https://www.cve.org/CVERecord?id=CVE-2023-36923

- Référence CVE CVE-2023-39437

https://www.cve.org/CVERecord?id=CVE-2023-39437

- Référence CVE CVE-2023-37490

https://www.cve.org/CVERecord?id=CVE-2023-37490

- Référence CVE CVE-2023-37491

https://www.cve.org/CVERecord?id=CVE-2023-37491

- Référence CVE CVE-2023-33993

https://www.cve.org/CVERecord?id=CVE-2023-33993

- Référence CVE CVE-2023-37488

https://www.cve.org/CVERecord?id=CVE-2023-37488

- Référence CVE CVE-2023-37486

https://www.cve.org/CVERecord?id=CVE-2023-37486

- Référence CVE CVE-2023-39436

https://www.cve.org/CVERecord?id=CVE-2023-39436

- Référence CVE CVE-2023-37487

https://www.cve.org/CVERecord?id=CVE-2023-37487

- Référence CVE CVE-2023-37492

https://www.cve.org/CVERecord?id=CVE-2023-37492

- Référence CVE CVE-2023-39440

https://www.cve.org/CVERecord?id=CVE-2023-39440

- Référence CVE CVE-2023-36926

https://www.cve.org/CVERecord?id=CVE-2023-36926

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0635/