S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 12 avril 2023
N° CERTFR-2023-AVI-0301
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits SAP

Gestion du document

Référence CERTFR-2023-AVI-0301
Titre Multiples vulnérabilités dans les produits SAP
Date de la première version 12 avril 2023
Date de la dernière version 12 avril 2023
Source(s) Bulletin de sécurité SAP du 11 avril 2023
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Déni de service à distance
  • Exécution de code arbitraire à distance
  • Injection de code indirecte à distance (XSS)

Systèmes affectés

  • ABAP Platform and SAP Web Dispatcher versions WEBDISP 7.85, 7.89, KERNEL 7.85, 7.89 et 7.91
  • SAP Application Interface Framework (Custom Hint of Message Dashboard Application versions AIF 703, AIFX 702, S4CORE 100, 101, SAP_BASIS 755, 756, SAP_ABA 75C, 75D et 75E
  • SAP Application Interface Framework (Log Message View of Message Dashboard) versions AIF 703, AIFX 702, S4CORE 101, SAP_BASIS 755, 756, SAP_ABA 75C, 75D et 75E
  • SAP Application Interface Framework (Message Monitoring and Message Monitoring for Administrators Application versions 600 et 700
  • SAP Application Interface Framework (ODATA service) versions 755 et 756
  • SAP Business Client versions 6.5, 7.0 et 7.70
  • SAP BusinessObjects Business Intelligence Platform (Promotion Management) versions 420 et 430
  • SAP Commerce versions 1905, 2005 et 2011
  • SAP CRM (WebClient UI) versions S4FND 102, 103, 104, 105, 106, 107, WEBCUIF, 700, 701, 731, 730, 746, 747, 748, 800 et 801
  • SAP CRM versions 700, 701, 702, 712 et 713
  • SAP Diagnostics Agent (OSCommand Bridge and EventLogServiceCollector) version 720
  • SAP Fiori apps 1.0 for travel management in SAP ERP (My Travel Requests) version 600
  • SAP GUI for HTML versions KERNEL 7.22, 7.53, 7.547.77, 7.81, 7.85, 7.89, 7.91, KRNL64UC, 7.22, 7.22EXT, KRNL64UC 7.22 et 7.22EXT
  • SAP HCM Fiori App My Forms (Fiori 2.0) version 605
  • SAP Landscape Management version 3.0
  • SAP NetWeaver (BI CONT ADDON) versions 707, 737, 747 et 757
  • SAP NetWeaver Application Server for ABAP and ABAP Platform versions 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757 et 791
  • SAP NetWeaver AS for ABAP (Business Server Pages) versions 700, 701, 702, 731, 740,750, 751, 752, 753, 754, 755, 756 et 757
  • SAP NetWeaver AS for ABAP and ABAP Platform versions 740, 750, 751, 752, 753, 754, 755, 756, 757 et 791
  • SAP NetWeaver AS Java for Deploy Service version 7.50
  • SAP NetWeaver Enterprise Portal version 7.50
  • SAP NetWeaver Process Integration version 7.50
  • SAP Web Dispatcher and Internet Communication Manager versions KRNL32NUC 7.21, 7.21EXT, 7.22, 7.22EXT, KRNL32UC 7.21, 7.21EXT, 7.22,7.22EXT, KRNL64NUC 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49, KRNL64UC 7.21,7.21EXT, 7.22, 7.22EXT, 7.49, 7.53, 7.73, WEBDISP 7.53, 7.73, 7.77, 7.81, 7.82,7.83, KERNEL 7.21, 7.22,7.49, 7.53, 7.73, 7.77, 7.81, 7.82 et 7.83
  • SapSetup (Software Installation Program) version 9.0

Résumé

De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 12 avril 2023
    Version initiale