S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 12 avril 2023
N° CERTFR-2023-AVI-0301
Affaire suivie par: CERT-FR
le 12 avril 2023

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits SAP

Gestion du document

Référence CERTFR-2023-AVI-0301
Titre Multiples vulnérabilités dans les produits SAP
Date de la première version 12 avril 2023
Date de la dernière version 12 avril 2023
Source(s) Bulletin de sécurité SAP du 11 avril 2023
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque(s)

  • Exécution de code arbitraire à distance
  • Déni de service à distance
  • Contournement de la politique de sécurité
  • Atteinte à la confidentialité des données
  • Injection de code indirecte à distance (XSS)

Systèmes affectés

  • SAP Diagnostics Agent (OSCommand Bridge and EventLogServiceCollector) version 720
  • SAP Business Client versions 6.5, 7.0 et 7.70
  • SAP NetWeaver Process Integration version 7.50
  • SAP BusinessObjects Business Intelligence Platform (Promotion Management) versions 420 et 430
  • SAP NetWeaver Application Server for ABAP and ABAP Platform versions 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757 et 791
  • SAP NetWeaver (BI CONT ADDON) versions 707, 737, 747 et 757
  • SAP Landscape Management version 3.0
  • SapSetup (Software Installation Program) version 9.0
  • SAP NetWeaver Enterprise Portal version 7.50
  • SAP Fiori apps 1.0 for travel management in SAP ERP (My Travel Requests) version 600
  • SAP NetWeaver AS for ABAP and ABAP Platform versions 740, 750, 751, 752, 753, 754, 755, 756, 757 et 791
  • SAP GUI for HTML versions KERNEL 7.22, 7.53, 7.547.77, 7.81, 7.85, 7.89, 7.91, KRNL64UC, 7.22, 7.22EXT, KRNL64UC 7.22 et 7.22EXT
  • SAP CRM versions 700, 701, 702, 712 et 713
  • SAP CRM (WebClient UI) versions S4FND 102, 103, 104, 105, 106, 107, WEBCUIF, 700, 701, 731, 730, 746, 747, 748, 800 et 801
  • SAP Web Dispatcher and Internet Communication Manager versions KRNL32NUC 7.21, 7.21EXT, 7.22, 7.22EXT, KRNL32UC 7.21, 7.21EXT, 7.22,7.22EXT, KRNL64NUC 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49, KRNL64UC 7.21,7.21EXT, 7.22, 7.22EXT, 7.49, 7.53, 7.73, WEBDISP 7.53, 7.73, 7.77, 7.81, 7.82,7.83, KERNEL 7.21, 7.22,7.49, 7.53, 7.73, 7.77, 7.81, 7.82 et 7.83
  • SAP NetWeaver AS Java for Deploy Service version 7.50
  • SAP NetWeaver AS for ABAP (Business Server Pages) versions 700, 701, 702, 731, 740,750, 751, 752, 753, 754, 755, 756 et 757
  • ABAP Platform and SAP Web Dispatcher versions WEBDISP 7.85, 7.89, KERNEL 7.85, 7.89 et 7.91
  • SAP Commerce versions 1905, 2005 et 2011
  • SAP Application Interface Framework (Log Message View of Message Dashboard) versions AIF 703, AIFX 702, S4CORE 101, SAP_BASIS 755, 756, SAP_ABA 75C, 75D et 75E
  • SAP HCM Fiori App My Forms (Fiori 2.0) version 605
  • SAP Application Interface Framework (Custom Hint of Message Dashboard Application versions AIF 703, AIFX 702, S4CORE 100, 101, SAP_BASIS 755, 756, SAP_ABA 75C, 75D et 75E
  • SAP Application Interface Framework (Message Monitoring and Message Monitoring for Administrators Application versions 600 et 700
  • SAP Application Interface Framework (ODATA service) versions 755 et 756

Résumé

De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 12 avril 2023
    Version initiale