Risques
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Déni de service à distance
- Exécution de code arbitraire à distance
- Injection de code indirecte à distance (XSS)
Systèmes affectés
- Internet of Things Edge Platform version 4.0
- SAP 3D Visual Enterprise Viewer version 9.0
- SAP Adaptive Server Enterprise version 16.0
- SAP Business Client version 6.5
- SAP Business Objects Web Intelligence (BI Launchpad) version 420
- SAP Commerce versions 1905, 2005, 2105 et 2011
- SAP Content Server version 7.53
- SAP Customer Checkout version 2
- SAP Data Intelligence version 3
- SAP Dynamic Authorization Management version 9.1.0.0 et 2021.03
- SAP ERP HCM (Portugal) versions 600, 604 et 608
- SAP NetWeaver (ABAP and Java application Servers) versions 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755 et 756
- SAP NetWeaver and ABAP Platform versions KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT et 7.49
- SAP NetWeaver Application Server for ABAP (Kernel) and ABAP Platform (Kernel) versions KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT et 7.49
- SAP NetWeaver Application Server Java versions KRNL64NUC 7.22, 7.22EXT, 7.49, KRNL64UC, 7.22, 7.22EXT, 7.49, 7.53, KERNEL 7.22, 7.49 et 7.53
- SAP NetWeaver AS ABAP (Workplace Server) versions 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756 et 787
- SAP S/4HANA (Supplier Factsheet and Enterprise Search for Business Partner, Supplier and Customer) versions 104, 105 et 106
- SAP S/4HANA versions 100, 101, 102, 103, 104, 105 et 106
- SAP Solution Manager (Diagnostics Root Cause Analysis Tools) version 720
- SAP Web Dispatcher versions 7.49, 7.53, 7.77, 7.81, 7.85, 7.22EXT, 7.86 et 7.87
Résumé
De multiples vulnérabilités ont été découvertes dans les produits SAP. Elles permettent à un attaquant de provoquer un déni de service à distance, une atteinte à l'intégrité des données et une atteinte à la confidentialité des données.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité SAP du 09 février 2022 https://wiki.scn.sap.com/wiki/display/PSR/SAP+Security+Patch+Day+-+February+2022
- Référence CVE CVE-2021-44228 https://www.cve.org/CVERecord?id=CVE-2021-44228
- Référence CVE CVE-2021-44832 https://www.cve.org/CVERecord?id=CVE-2021-44832
- Référence CVE CVE-2021-45046 https://www.cve.org/CVERecord?id=CVE-2021-45046
- Référence CVE CVE-2021-45105 https://www.cve.org/CVERecord?id=CVE-2021-45105
- Référence CVE CVE-2022-22528 https://www.cve.org/CVERecord?id=CVE-2022-22528
- Référence CVE CVE-2022-22530 https://www.cve.org/CVERecord?id=CVE-2022-22530
- Référence CVE CVE-2022-22531 https://www.cve.org/CVERecord?id=CVE-2022-22531
- Référence CVE CVE-2022-22532 https://www.cve.org/CVERecord?id=CVE-2022-22532
- Référence CVE CVE-2022-22534 https://www.cve.org/CVERecord?id=CVE-2022-22534
- Référence CVE CVE-2022-22535 https://www.cve.org/CVERecord?id=CVE-2022-22535
- Référence CVE CVE-2022-22536 https://www.cve.org/CVERecord?id=CVE-2022-22536
- Référence CVE CVE-2022-22537 https://www.cve.org/CVERecord?id=CVE-2022-22537
- Référence CVE CVE-2022-22538 https://www.cve.org/CVERecord?id=CVE-2022-22538
- Référence CVE CVE-2022-22539 https://www.cve.org/CVERecord?id=CVE-2022-22539
- Référence CVE CVE-2022-22540 https://www.cve.org/CVERecord?id=CVE-2022-22540
- Référence CVE CVE-2022-22542 https://www.cve.org/CVERecord?id=CVE-2022-22542
- Référence CVE CVE-2022-22543 https://www.cve.org/CVERecord?id=CVE-2022-22543
- Référence CVE CVE-2022-22544 https://www.cve.org/CVERecord?id=CVE-2022-22544
- Référence CVE CVE-2022-22546 https://www.cve.org/CVERecord?id=CVE-2022-22546