Risques

  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Déni de service à distance
  • Exécution de code arbitraire à distance
  • Injection de code indirecte à distance (XSS)
  • Non spécifié par l'éditeur

Systèmes affectés

  • Business One (B1i Layer) version 10.0
  • Business One (Service Layer) version 10.0
  • Business One version 10.0
  • BusinessObjects Business Intelligence (installer) versions 420 et 430
  • BusinessObjects Business Intelligence Platform version 420
  • BusinessObjects Business Intelligence Platform versions 430
  • Commerce (OCC API) versions HY_COM 2105, HY_COM 2205 et COM_CLOUD 2211
  • Commerce versions HY_COM 2105, HY_COM 2205 et COM_CLOUD 2211
  • ECC et SAP S/4HANA (IS-OIL) versions 600, 602, 603, 604, 605, 606, 617, 618, 800, 802, 803, 804, 805, 806 et 807
  • Message Server versions KERNEL 7.22, KERNEL 7.53, KERNEL 7.54, KERNEL 7.77, RNL64UC 7.22, RNL64UC 7.22EXT, RNL64UC 7.53, KRNL64NUC 7.22 et KRNL64NUC 7.22EX
  • NetWeaver (BI CONT ADD ON) versions 707, 737, 747 et 757
  • NetWeaver AS ABAP et ABAP Platform versions SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 793 et SAP_BASIS 804
  • NetWeaver Process Integration versions SAP_XIESR 7.50, SAP_XITOOL 7.50 et SAP_XIAF 7.50
  • PowerDesigner version 16.7
  • Supplier Relationship Management versions 600, 602, 603, 604, 605, 606, 616 et 617

Résumé

De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l'éditeur, une exécution de code arbitraire à distance et un déni de service à distance.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation