SAP Security Patch Day (AL01/241210/CSIRT-ITA)

Synthèse

SAP publie le Security Patch Day en décembre qui résout plusieurs vulnérabilités, dont 3 de gravité « élevée ».

Risque

Impact estimé de la vulnérabilité sur la communauté de référence : ÉLEVÉ/ORANGE (65,51/100)¹.

Typologie

• Denial of Service
• Arbitrary File Write/Read
• Security Restrictions Bypass
• Information Disclosure

Produits et versions concernés

• NetWeaver AS pour JAVA (Adobe Document Services), version ADSSSAP 7.50
• Serveur d’applications NetWeaver ABAP, versions KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93
• Administrateur NetWeaver (présentation du système), version LM-CORE 7.50

Mesures d’atténuation

Conformément aux déclarations du fournisseur, il est recommandé de mettre à jour les produits vulnérables en suivant les instructions du bulletin de sécurité rapporté dans la section Références.

Identificateurs de vulnérabilité uniques

Vous trouverez ci-dessous les seuls CVE relatifs aux vulnérabilités de gravité « élevée » :

CVE-2024-47578

CVE-2024-54197

CVE-2024-54198

Références

https://support.sap.com/en/my-support/knowledge-base/security-notes-news/december-2024.html

¹Cette estimation est réalisée en tenant compte de différents paramètres, parmi lesquels : CVSS, disponibilité des patch/workaround et PoC, diffusion des logiciels/appareils concernés dans la communauté de référence.