S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 12 juillet 2023
N° CERTFR-2023-AVI-0531
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits SAP

Gestion du document

Référence CERTFR-2023-AVI-0531
Titre Multiples vulnérabilités dans les produits SAP
Date de la première version12 juillet 2023
Date de la dernière version12 juillet 2023
Source(s) Bulletin de sécurité SAP du 11 juillet 2023
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Déni de service à distance
  • Exécution de code arbitraire à distance
  • Injection de code indirecte à distance (XSS)

Systèmes affectés

  • SAP Business Client versions 6.5, 7.0 et 7.70
  • SAP Business Warehouseand SAP BW/4HANA versions SAP_BW 730, SAP_BW 731, SAP_BW 740, SAP_BW 730, SAP_BW 750, DW4CORE 100, DW4CORE 200 et DW4CORE 300
  • SAP BusinessObjects BI Platform (Enterprise) versions 420 et 430
  • SAP ECC et SAP S/4HANA (IS-OIL), versions 600, 602, 603, 604, 605, 606, 617, 618, 800, 802, 803, 804, 805, 806 et 807
  • SAP Enable Now versions WPB_MANAGER 1.0, WPB_MANAGER_CE 10, WPB_MANAGER_HANA 10 et ENABLE_NOW_CONSUMP_DEL 1704
  • SAP ERP Defense Forces et Public Security versions 600, 603, 604, 605, 616, 617, 618, 802, 803, 804, 805, 806 et 807
  • SAP NetWeaver (BI CONT ADD ON) versions 707, 737, 747 et 757
  • SAP NetWeaver AS ABAP et ABAP Platform versions KRNL64NUC7.22, KRNL64NUC 7.22EXT, KRNL64UC 7.22, KRNL64UC 7.22EXT, KRNL64UC 7.53, KERNEL 7.22, KERNEL7.53, KERNEL 7.77, KERNEL 7.81, KERNEL 7.85, KERNEL 7.89, KERNEL 7.54, KERNEL 7.92 et KERNEL 7.93
  • SAP NetWeaver AS for Java (Log Viewer) versions ENGINEAPI 7.50, SERVERCORE 7.50 et J2EE-APPS 7.50
  • SAP NetWeaver Process Integration (Message Display Tool) version SAP_XIAF 7.50
  • SAP NetWeaver Process Integration (Runtime Workbench) version SAP_XITOOL 7.50
  • SAP S/4HANA (Manage Journal Entry Template) versions S4CORE 104, 105, 106 et 107
  • SAP Solution Manager (Diagnostic Agent) version 7.20
  • SAP SQL Anywhere version 17.0
  • SAP UI5 Variant Management versions SAP_UI 750, SAP_UI 754, SAP_UI 755, SAP_UI 756, SAP_UI 757 et UI_700 200
  • SAP Web Dispatcher versions WEBDISP 7.49, WEBDISP 7.53, WEBDISP 7.54, WEBDISP 7.77, WEBDISP 7.81, WEBDISP 7.85, WEBDISP 7.88, WEBDISP 7.89, WEBDISP 7.90, KERNEL 7.49, KERNEL 7.53, KERNEL 7.54 KERNEL 7.77, KERNEL 7.81, KERNEL 7.85, KERNEL 7.88, KERNEL 7.89, KERNEL 7.90, KRNL64NUC 7.49, KRNL64UC 7.49, KRNL64UC 7.53, HDB 2.00, XS_ADVANCED_RUNTIME 1.00 et SAP_EXTENDED_APP_SERVICES 1
  • SAP Web Dispatcher versions WEBDISP 7.53, WEBDISP 7.54, WEBDISP 7.77, WEBDISP 7.85, WEBDISP7.89, WEBDISP 7.91, WEBDISP 7.92, WEBDISP 7.93, KERNEL 7.53, KERNEL 7.54,KERNEL 7.77, KERNEL 7.85, KERNEL 7.89, KERNEL 7.91, KERNEL 7.92, KERNEL 7.93, KRNL64UC 7.53, HDB 2.00, XS_ADVANCED_RUNTIME 1.00 et SAP_EXTENDED_APP_SERVICES 1

Résumé

De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 12 juillet 2023
    Version initiale