Introduction Une vulnérabilité (référence CVE-2023-28762) concernant la diffusion de jeton de connexion a été détectée en mai. Une personne malveillante disposant des privilèges administrateurs peut récupérer le jeton de connexion d’un autre utilisateur sur le réseau. Pour cela il doit analyser les paquets du réseau pour récupérer le résultat d’une requête faite à la base…
Read article
Introduction Une vulnérabilité (référence CVE-2023-25616) concernant l’exécution de programme a été détecté en mars. Cette vulnérabilité est liée à une autre (CVE-2023-25617) concernant l’exécution de commande sur l’OS. En raison de paramètres échappés incorrectement sous Unix, il est possible de d’exécuter des commandes arbitraires sur le réseau. En cas de réussite, l’attaquant peut complètement compromettre…
Read article
Mise à jour 17/02 : Microsoft a sorti le 17 février une version d’Edge qui corrige ce bug. Il s’agit de la version 110.0.1587.49. DeciVision a testé cette version d’Edge et nous ne reproduisons plus ce dysfonctionnement. Mise à jour 15/02 : Google a sorti le 14 février une version de Chrome qui corrige ce…
Read article
Introduction Une vulnérabilité (référence CVE-2022-41267) concernant les instances vers des systèmes de fichier a été détecté début décembre. En raison d’un manque de restriction dans le processus de planification, il est possible de déposer des fichiers malveillants sur le serveur hébergeant la plateforme SAP BO. Pour la réaliser, il est nécessaire que l’utilisateur se connecte…
Read article
Introduction Une vulnérabilité (référence CVE-2022-41203) au niveau du code permettant de changer le format des objets à planifier a été découverte début novembre. En raison d’un manque de vérification dans le processus de sérialisation, il est possible de remplacer l’objet sérialisé par un autre contenant du code malveillant. Cette attaque pourrait fortement compromettre la confidentialité,…
Read article
Introduction SAP a mis à disposition des utilisateurs un nouveau patch pour la version BI 4.3 SP02 de la suite BusinessObjects. Pour vous, DeciVision a testé la version BI4.3 SP2 Patch 5 et la valide ! Malgré un patch 3 stable et validé, nous souhaitions valider le patch 5 à la suite d’un bug détecté sur l’univers d’audit. En…
Read article
SAP a mis à disposition des utilisateurs un nouveau patch pour la version BI 4.3 SP03 de la suite BusinessObjects. Pour vous, DeciVision a testé la version BI4.3 SP2 Patch 3 et la valide ! La validation du Patch 03 DeciVision réalise un panel de tests sur l’ensemble des fonctionnalités, aussi bien sur les existantes que sur les nouvelles.…
Read article
Introduction Une vulnérabilité (référence CVE-2022-22546) du code HTML permettant d’afficher le résumé des contrôles d’entrées a été découverte le 04/01/2022. En raison d’un encodage HTML incorrect, il est possible d’exécuter une attaque XSS dans l’application SAP Business Objects Web intelligence. Pour cela, il est nécessaire que l’utilisateur se connecte à l’application Web Intelligence avant d’exécuter…
Read article
Introduction Même si les nouveautés sur Discovery sont plus limitées, SAP continue de développer Lumira Designer (anciennement Design Studio), avec la sortie de cette nouvelle version 2.2. Parmi les nombreuses nouveautés, nous avons choisi dans cet article d’en évoquer une qui nous a paru très intéressante : l’authoring (création). Cette fonctionnalité offre maintenant aux utilisateurs (en…
Read article