S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 14 avril 2022
N° CERTFR-2022-AVI-345
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits SAP

Gestion du document

Référence CERTFR-2022-AVI-345
Titre Multiples vulnérabilités dans les produits SAP
Date de la première version 14 avril 2022
Date de la dernière version 14 avril 2022
Source(s) Bulletin de sécurité SAP du 12 avril 2022
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Déni de service à distance
  • Exécution de code arbitraire à distance
  • Injection de code indirecte à distance (XSS)
  • Injection de requêtes illégitimes par rebond (CSRF)
  • Élévation de privilèges

Systèmes affectés

  • SAP 3D Visual Enterprise Viewer version 9
  • SAP Business Client version 6.5
  • SAP BusinessObjects Business Intelligence Platform (BI Workspace) version 420
  • SAP BusinessObjects Business Intelligence Platform versions 420 et 430
  • SAP BusinessObjects Enterprise (Central Management Server) versions 420 et 430
  • SAP Commerce versions 905, 2005, 2105 et 2011
  • SAP Content Server version 7.53
  • SAP Customer Checkout version 2.0
  • SAP Customer Checkout_SVR version 2.0
  • SAP Fiori Launchpad versions 54, 755 et 756
  • SAP Focused Run (Simple Diagnostics Agent) version 1.0
  • SAP HANA Extended Application Services version 1
  • SAP Innovation Management version 2
  • SAP Manufacturing Integration et Intelligence versions 15.1, 15.2, 15.3 et 15.4
  • SAP NetWeaver (EP Web Page Composer) versions 7.20, 7.30, 7.31, 7.40 et 7.50
  • SAP NetWeaver (Internet Communication Manager versions KRNL64NUC 7.22, 7.22EXT, 7.49, KRNL64UC 7.22, 7.22EXT, 7.49, 7.53, KERNEL 7.22, 7.49, 7.53, 7.77, 7.81, 7.85 et 7.86
  • SAP NetWeaver (Internet Communication Manager) versions KRNL64NUC 7.22, 7.22EXT, 7.49, KRNL64UC 7.22, 7.22EXT, 7.49, 7.53, KERNEL 7.22, 7.49, 7.53, 7.77, 7.81, 7.85 et 7.86
  • SAP NetWeaver ABAP Server et ABAP Platform versions 740, 750 et 787
  • SAP NetWeaver Application Server ABAP et ABAP Platform versions 700, 710, 711, 730, 731, 740 et 750-756
  • SAP NetWeaver Application Server Java versions KRNL64NUC 7.22, 7.22EXT, 7.49, KRNL64UC, 7.22, 7.22EXT, 7.49, 7.53, KERNEL 7.22, 7.49 et 7.53
  • SAP NetWeaver Application Server pour ABAP (Kernel) et ABAP Platform (Kernel) versions KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT et 7.49
  • SAP NetWeaver Application Server pour Java Version 7.50
  • SAP NetWeaver Enterprise Portal versions 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 et 7.50
  • SAP NetWeaver et ABAP Platform versions KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT et 7.49
  • SAP Powerdesigner Web Portal version 16.7
  • SAP SQL Anywhere Server version 17.0
  • SAP Web Dispatcher versions 7.22, 7.49, 7.53, 7.77, 7.81 et 7.83
  • SAP Web Dispatcher versions 7.49, 7.53, 7.77, 7.81, 7.85, 7.22EXT, 7.86 et 7.87
  • SAP Web Dispatcher versions 7.53, 7.77, 7.81, 7.85 et 7.86
  • SAPS/4HANA(Supplier Factsheet et Enterprise Search pour Business Partner, Supplier et Customer) versions 104, 105 et 106
  • SAPUI5 (vbm library) versions 750, 753, 754, 755 et 756
  • SAPUI5, versions 750, 753, 754, 755, 756 et 200

Résumé

De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 14 avril 2022
    Version initiale