S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 11 janvier 2022
N° CERTFR-2022-AVI-016
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits SAP

Gestion du document

Référence CERTFR-2022-AVI-016
Titre Multiples vulnérabilités dans les produits SAP
Date de la première version11 janvier 2022
Date de la dernière version11 janvier 2022
Source(s) Bulletin de sécurité SAP du 11 janvier 2022
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Déni de service à distance
  • Exécution de code arbitraire à distance
  • Injection de code indirecte à distance (XSS)

Systèmes affectés

  • SAP 3D Visual Enterprise Viewer version 9
  • SAP BTP API Management (Tenant Cloning Tool)
  • SAP BTP Cloud Foundry
  • SAP BTP Kyma
  • SAP Business One
  • SAP Business One version 10
  • SAP Cloud for Customer (complément pour le client Lotus notes)
  • SAP Cloud-to-Cloud Interoperability
  • SAP Connected Health Platform 2.0 - Fhirserver
  • SAP Customer Checkout
  • SAP Digital Manufacturing Cloud for Edge Computing
  • SAP Edge Services Cloud Edition
  • SAP Edge Services On Premise Edition
  • SAP Enable Now Manager
  • SAP Enterprise Continuous Testing by Tricentis
  • SAP Enterprise Threat Detection version 2.0
  • SAP GRC Access Control versions V1100_700, V1100_731 et V1200_750
  • SAP HANA XS Advanced
  • SAP HANA XS Advanced Cockpit
  • SAP Internet of Things Edge Platform
  • SAP Landscape Management
  • SAP Localization Hub, digital compliance service for India
  • SAP NetWeaver ABAP Server and ABAP Platform (Adobe LiveCycle Designer 11.0)
  • SAP NetWeaver AS ABAP versions 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755 et 756
  • SAP NetWeaver AS for ABAP and ABAP Platform versions 701, 702, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755, 756 et 786
  • SAP NetWeaver Process Integration
  • SAP Reference Template for enabling ingestion and persistence of time series data in Azure
  • SAP S/4HANA versions 100, 101, 102, 103, 104, 105 et 106

Résumé

De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 11 janvier 2022
    Version initiale