SAP BI

Vulnérabilité lors de l’exécution des programmes – SAP BI Platform

Introduction

Une vulnérabilité (référence CVE-2023-25616) concernant l’exécution de programme a été détecté en mars. Cette vulnérabilité est liée à une autre (CVE-2023-25617) concernant l’exécution de commande sur l’OS. En raison de paramètres échappés incorrectement sous Unix, il est possible de d’exécuter des commandes arbitraires sur le réseau. En cas de réussite, l’attaquant peut complètement compromettre l’application, entraînant un impact élevé sur la confidentialité, l’intégrité et la disponibilité de l’application.

Pour la réaliser, il est nécessaire que l’utilisateur puisse se connecter à la CMC.

Lien vers les vulnérabilités : 

https://www.cve.org/CVERecord?id=CVE-2023-25616

https://www.cve.org/CVERecord?id=CVE-2023-25617

Est-ce que cela impacte votre déploiement ?

  • SAP BusinessObjects BI Platform sous Unix

Versions concernées

  • Pour la vulnérabilité CVE-2023-25616
    • Toutes les versions de SAP BusinessObjects BI Platform 4.2 avant la version 4.2 SP09 P1200
    • Toutes les versions de SAP BusinessObjects BI Platform 4.3 avant la version 4.3 SP02 P800
    • Toutes les versions de SAP BusinessObjects BI Platform 4.3 avant la version 4.3 SP03
  • Pour la vulnérabilité CVE-2023-25617
    • Toutes les versions de SAP BusinessObjects BI Platform 4.2 avant la version 4.2 SP09 P1300
    • Toutes les versions de SAP BusinessObjects BI Platform 4.3 avant la version 4.3 SP02 P1000
    • Toutes les versions de SAP BusinessObjects BI Platform 4.3 avant la version 4.3 SP03 Patch 100

Détails

L’ensemble des plateformes SAP BusinessObjects 4.2 et 4.3 sont impactées sous Unix. Depuis la détection de ces vulnérabilités, SAP a sorti plusieurs patchs correctifs afin de pallier celles-ci.

Les patchs en question sont le patch 1300 de la version BI 4.2 SP09, le patch 1000 de la version BI 4.3 SP02 et le patch 100 de la version BI 4.3 SP03. Sur ces versions, SAP a modifié la configuration de la CMC pour que l’option « Utiliser l’emprunt d’identité » dans Application->Central Configuration Manager->Droits des objets ne soit plus présente et soit cochée par défaut. Il sera nécessaire de fournir des informations d’identification pour planifier les programmes.

La première vulnérabilité a un base score de 9,9 sur 10 et la deuxième de 9,0, si votre plateforme SAP BusinessObjects est accessible depuis l’extérieur de votre réseau, nous vous conseillons fortement de la patcher dans la version indiquée pour empêcher les attaques.

Si vous ne pouvez pas patcher rapidement votre plateforme, il existe une solution de contournement qui consiste à cocher la case « Utiliser l’emprunt d’identité » dans la CMC ou décocher les options « Exécuter des scripts ou des fichiers binaires » et « Exécuter les programmes Java » pour empêcher l’utilisation de script sur la plateforme.

Références

Un projet ? Une question ?

Laissez-nous vos coordonnées et nous vous recontactons dans les plus brefs délais !

Articles récents
Évènements à venir
Newsletter DeciVision

Soyez notifiés de nos derniers articles de blog, de nos prochains webinars et nos actualités !