S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 13 décembre 2023
N° CERTFR-2023-AVI-1020
Affaire suivie par: CERT-FR
le 13 décembre 2023

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits SAP

Gestion du document

Référence CERTFR-2023-AVI-1020
Titre Multiples vulnérabilités dans les produits SAP
Date de la première version 13 décembre 2023
Date de la dernière version 13 décembre 2023
Source(s) Bulletin de sécurité SAP ucQrx6G du 12 décembre 2023
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque(s)

  • Non spécifié par l'éditeur
  • Exécution de code arbitraire à distance
  • Déni de service à distance
  • Contournement de la politique de sécurité
  • Atteinte à la confidentialité des données
  • Élévation de privilèges
  • Injection de code indirecte à distance (XSS)

Systèmes affectés

  • SAP Business Client versions 6.5, 7.0 et 7.7
  • Librairie @sap/xssec versions antérieures à 3.6.0
  • Librairie cloud-security-services-integration-library versions antérieures à 2.17.0
  • Librairie cloud-security-services-integration-library versions 3.3.x antérieures à 3.3.0
  • Librairie sap-xssec versions antérieures à 4.1.0
  • Librairie github.com/sap/cloud-security-client-go versions antérieures à 0.17.0
  • SAP ECC et SAP S/4HANA (IS-OIL) versions 600, 602, 603, 604, 605, 606, 617, 618, 800, 802, 803, 804, 805, 806 et 807
  • SAP ECC et SAP S/4HANA (IS-OIL) versions 600, 602, 603, 604, 605, 606, 617, 618, 800, 802, 803, 804, 805, 806 et 807
  • SAP Commerce Cloud version 8.1
  • Business Objects BI Platform versions 420 et 430
  • SAP GUI pour Windows et SAP GUI pour Java versions SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757 et SAP_BASIS 758
  • SAP EMARSYS SDK ANDROID version 3.6.2
  • SAP BusinessObjects Web Intelligence version 420
  • SAP Solution Manager version 720
  • SAP Biller Direct versions 635 et 750
  • SAP HCM (SMART PAYE solution) versions S4HCMCIE 100, SAP_HRCIE 600, SAP_HRCIE 604 et SAP_HRCIE 608
  • SAPUI5 versions SAP_UI 750, SAP_UI 753, SAP_UI 754, SAP_UI 755, SAP_UI 756 et UI_700 200
  • SAP Fiori Launchpad versions SAP_UI 750, SAP_UI 754, SAP_UI 755, SAP_UI 756, SAP_UI 757, SAP_UI 758, UI_700 200 et SAP_BASIS 793
  • SAP NetWeaver Application Server ABAP et ABAP Platform versions SAP_BASIS 700, SAP_BASIS731, SAP_BASIS740 et SAP_BASIS750
  • SAP Master Data Governance versions 731, 732, 746, 747, 748, 749, 800, 751,752,801,802, 803, 804, 805, 806, 807 et 808
  • SAP_BS_FND version 702
  • SAP Cloud Connector version 2.0

Résumé

De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l'éditeur, une exécution de code arbitraire à distance et un déni de service à distance.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 13 décembre 2023
    Version initiale