Risques
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Déni de service à distance
- Exécution de code arbitraire à distance
- Injection de code indirecte à distance (XSS)
- Non spécifié par l'éditeur
Systèmes affectés
- Business One (B1i Layer) version 10.0
- Business One (Service Layer) version 10.0
- Business One version 10.0
- BusinessObjects Business Intelligence (installer) versions 420 et 430
- BusinessObjects Business Intelligence Platform version 420
- BusinessObjects Business Intelligence Platform versions 430
- Commerce (OCC API) versions HY_COM 2105, HY_COM 2205 et COM_CLOUD 2211
- Commerce versions HY_COM 2105, HY_COM 2205 et COM_CLOUD 2211
- ECC et SAP S/4HANA (IS-OIL) versions 600, 602, 603, 604, 605, 606, 617, 618, 800, 802, 803, 804, 805, 806 et 807
- Message Server versions KERNEL 7.22, KERNEL 7.53, KERNEL 7.54, KERNEL 7.77, RNL64UC 7.22, RNL64UC 7.22EXT, RNL64UC 7.53, KRNL64NUC 7.22 et KRNL64NUC 7.22EX
- NetWeaver (BI CONT ADD ON) versions 707, 737, 747 et 757
- NetWeaver AS ABAP et ABAP Platform versions SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 793 et SAP_BASIS 804
- NetWeaver Process Integration versions SAP_XIESR 7.50, SAP_XITOOL 7.50 et SAP_XIAF 7.50
- PowerDesigner version 16.7
- Supplier Relationship Management versions 600, 602, 603, 604, 605, 606, 616 et 617
Résumé
De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l'éditeur, une exécution de code arbitraire à distance et un déni de service à distance.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité SAP du 08 août 2023 https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1
- Référence CVE CVE-2023-33989 https://www.cve.org/CVERecord?id=CVE-2023-33989
- Référence CVE CVE-2023-33993 https://www.cve.org/CVERecord?id=CVE-2023-33993
- Référence CVE CVE-2023-36922 https://www.cve.org/CVERecord?id=CVE-2023-36922
- Référence CVE CVE-2023-36923 https://www.cve.org/CVERecord?id=CVE-2023-36923
- Référence CVE CVE-2023-36926 https://www.cve.org/CVERecord?id=CVE-2023-36926
- Référence CVE CVE-2023-37483 https://www.cve.org/CVERecord?id=CVE-2023-37483
- Référence CVE CVE-2023-37484 https://www.cve.org/CVERecord?id=CVE-2023-37484
- Référence CVE CVE-2023-37486 https://www.cve.org/CVERecord?id=CVE-2023-37486
- Référence CVE CVE-2023-37487 https://www.cve.org/CVERecord?id=CVE-2023-37487
- Référence CVE CVE-2023-37488 https://www.cve.org/CVERecord?id=CVE-2023-37488
- Référence CVE CVE-2023-37490 https://www.cve.org/CVERecord?id=CVE-2023-37490
- Référence CVE CVE-2023-37491 https://www.cve.org/CVERecord?id=CVE-2023-37491
- Référence CVE CVE-2023-37492 https://www.cve.org/CVERecord?id=CVE-2023-37492
- Référence CVE CVE-2023-39436 https://www.cve.org/CVERecord?id=CVE-2023-39436
- Référence CVE CVE-2023-39437 https://www.cve.org/CVERecord?id=CVE-2023-39437
- Référence CVE CVE-2023-39439 https://www.cve.org/CVERecord?id=CVE-2023-39439
- Référence CVE CVE-2023-39440 https://www.cve.org/CVERecord?id=CVE-2023-39440
