Risques

  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Déni de service à distance
  • Exécution de code arbitraire à distance
  • Injection de code indirecte à distance (XSS)
  • Non spécifié par l'éditeur

Systèmes affectés

  • AP Bank Account Management versions 100, 101, 102, 103, 104, 105, 106, 107 et 108 sans le dernier correctif de sécurité
  • AP BusinessObjects Business Intelligence Platform (Webservices) versions 430 et 440 sans le dernier correctif de sécurité
  • AP Global Label Management (GLM) versions 605, 606, 616 et 617 sans le dernier correctif de sécurité
  • AP Replication Server versions 16.0, 16.0.3 et 16.0.4 sans le dernier correctif de sécurité
  • AP S/4 HANA (Manage Bank Statement Reprocessing Rules) versions SAPSCORE 131, S4CORE 105, S4CORE 106, S4CORE107 et S4CORE 108 sans le dernier correctif de sécurité
  • Business Client versions 6.5, 7.0 et 7.70 sans le dernier correctif de sécurité
  • BusinessObjects (Business Intelligence Platform) versions 430 et 440 sans le dernier correctif de sécurité
  • Commerce version HY_COM 2205 sans le dernier correctif de sécurité
  • Enable Now version 1704 sans le dernier correctif de sécurité
  • My Travel Requests version 600 sans le dernier correctif de sécurité
  • NetWeaver Application server for ABAP and ABAP Platform versions SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 795 et SAP_BASIS 796 sans le dernier correctif de sécurité
  • S/4HANA (Document Service Handler for DPS) versions SAP_BASIS 740 et SAP_BASIS 750 sans le dernier correctif de sécurité
  • SAPUI5 versions 754, 755, 756, 757 et 758 sans le dernier correctif de sécurité

Résumé

De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l'éditeur, une exécution de code arbitraire à distance et un déni de service à distance.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation