Risque(s)
- Exécution de code arbitraire à distance
- Déni de service à distance
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Injection de code indirecte à distance (XSS)
Systèmes affectés
- Internet of Things Edge Platform version 4.0
- SAP 3D Visual Enterprise Viewer version 9.0
- SAP Adaptive Server Enterprise version 16.0
- SAP Business Client version 6.5
- SAP Business Objects Web Intelligence (BI Launchpad) version 420
- SAP Commerce versions 1905, 2005, 2105 et 2011
- SAP Content Server version 7.53
- SAP Customer Checkout version 2
- SAP Data Intelligence version 3
- SAP Dynamic Authorization Management version 9.1.0.0 et 2021.03
- SAP ERP HCM (Portugal) versions 600, 604 et 608
- SAP NetWeaver (ABAP and Java application Servers) versions 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755 et 756
- SAP NetWeaver and ABAP Platform versions KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT et 7.49
- SAP NetWeaver Application Server for ABAP (Kernel) and ABAP Platform (Kernel) versions KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT et 7.49
- SAP NetWeaver Application Server Java versions KRNL64NUC 7.22, 7.22EXT, 7.49, KRNL64UC, 7.22, 7.22EXT, 7.49, 7.53, KERNEL 7.22, 7.49 et 7.53
- SAP NetWeaver AS ABAP (Workplace Server) versions 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756 et 787
- SAP S/4HANA (Supplier Factsheet and Enterprise Search for Business Partner, Supplier and Customer) versions 104, 105 et 106
- SAP S/4HANA versions 100, 101, 102, 103, 104, 105 et 106
- SAP Solution Manager (Diagnostics Root Cause Analysis Tools) version 720
- SAP Web Dispatcher versions 7.49, 7.53, 7.77, 7.81, 7.85, 7.22EXT, 7.86 et 7.87
Résumé
De multiples vulnérabilités ont été découvertes dans les produits SAP. Elles permettent à un attaquant de provoquer un déni de service à distance, une atteinte à l'intégrité des données et une atteinte à la confidentialité des données.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité SAP du 09 février 2022
https://wiki.scn.sap.com/wiki/display/PSR/SAP+Security+Patch+Day+-+February+2022 - Référence CVE CVE-2022-22536
https://www.cve.org/CVERecord?id=CVE-2022-22536 - Référence CVE CVE-2021-44228
https://www.cve.org/CVERecord?id=CVE-2021-44228 - Référence CVE CVE-2021-45046
https://www.cve.org/CVERecord?id=CVE-2021-45046 - Référence CVE CVE-2021-45105
https://www.cve.org/CVERecord?id=CVE-2021-45105 - Référence CVE CVE-2021-44832
https://www.cve.org/CVERecord?id=CVE-2021-44832 - Référence CVE CVE-2022-22544
https://www.cve.org/CVERecord?id=CVE-2022-22544 - Référence CVE CVE-2022-22531
https://www.cve.org/CVERecord?id=CVE-2022-22531 - Référence CVE CVE-2022-22530
https://www.cve.org/CVERecord?id=CVE-2022-22530 - Référence CVE CVE-2022-22532
https://www.cve.org/CVERecord?id=CVE-2022-22532 - Référence CVE CVE-2022-22540
https://www.cve.org/CVERecord?id=CVE-2022-22540 - Référence CVE CVE-2022-22534
https://www.cve.org/CVERecord?id=CVE-2022-22534 - Référence CVE CVE-2022-22535
https://www.cve.org/CVERecord?id=CVE-2022-22535 - Référence CVE CVE-2022-22546
https://www.cve.org/CVERecord?id=CVE-2022-22546 - Référence CVE CVE-2022-22537
https://www.cve.org/CVERecord?id=CVE-2022-22537 - Référence CVE CVE-2022-22539
https://www.cve.org/CVERecord?id=CVE-2022-22539 - Référence CVE CVE-2022-22538
https://www.cve.org/CVERecord?id=CVE-2022-22538 - Référence CVE CVE-2022-22528
https://www.cve.org/CVERecord?id=CVE-2022-22528 - Référence CVE CVE-2022-22542
https://www.cve.org/CVERecord?id=CVE-2022-22542 - Référence CVE CVE-2022-22543
https://www.cve.org/CVERecord?id=CVE-2022-22543