Synthèse
Dans le cadre du Security Patch Day de janvier, SAP publie des mises à jour de sécurité pour corriger plusieurs vulnérabilités, dont 2 avec une gravité « critique » et 3 avec une gravité « élevée ».
Risque
Impact estimé de la vulnérabilité sur la communauté cible : Élevé (66,53)
Typologie
- Privilege Escalation
- Information Disclosure
- Security Restrictions Bypass
- Data Manipulation
Produits et versions concernés
| Produit | Version concernés |
|---|---|
| NetWeaver Application Server for ABAP and ABAP Platform | KRNL64NUC 7.22, 7.22EXT |
| KRNL64UC 7.22, 7.22EXT, 7.53, 8.04 | |
| KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93, 7.97, 8.04, 9.12, 9.13, 9.14 | |
| SAP_BASIS 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, 758 | |
| NetWeaver AS for ABAP and ABAP Platform (Internet Communication Framework) | SAP_BASIS 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, 758, 912, 913, 914 |
| BusinessObjects Business Intelligence Platform | ENTERPRISE 420, 430, 2025 |
| SAPSetup | LMSAPSETUP 9.0 |
Mesures d’atténuation
Conformément aux déclarations du fournisseur, il est recommandé de mettre à jour les produits vulnérables en suivant les instructions du bulletin de sécurité signalé dans la section Références.
Voici uniquement les CVE pour les vulnérabilités de gravité « élevée » et « critique » :
Références
https://support.sap.com/en/my-support/knowledge-base/security-notes-news/january-2025.html
1Cette estimation est réalisée en prenant en compte plusieurs paramètres, notamment : CVSS, disponibilité des patch/workaround et PoC, diffusion des logiciels/appareils affectés dans la communauté de référence.
