SAP BI

Vulnérabilité sur les planifications et publications vers les systèmes de fichier SAP BI Platform

Introduction

Une vulnérabilité (référence CVE-2022-41267) concernant les instances vers des systèmes de fichier a été détecté début décembre. En raison d’un manque de restriction dans le processus de planification, il est possible de déposer des fichiers malveillants sur le serveur hébergeant la plateforme SAP BO.

Pour la réaliser, il est nécessaire que l’utilisateur se connecte à l’application avec de faibles privilèges.

Lien vers la vulnérabilité : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-41267

Est-ce que cela impacte votre déploiement ?

  • SAP BusinessObjects BI Platform

Versions concernées

  • Toutes les versions de SAP BusinessObjects BI Platform 4.2 avant la version 4.2 SP09 P1100
  • Toutes les versions de SAP BusinessObjects BI Platform 4.3 avant la version 4.3 SP02 P800
  • Toutes les versions de SAP BusinessObjects BI Platform 4.3 avant la version 4.3 SP03

Détails

L’ensemble des plateformes SAP BusinessObjects 4.2 et 4.3 sont impactées. Depuis la sortie de cette vulnérabilité, SAP a sorti deux patchs correctifs afin de pallier celle-ci.

Les patchs en question sont le patch 1100 de la version BI 4.2 SP09 et le patch 800 de la version BI 4.3 SP02. Sur ces versions, SAP a modifié la configuration de sa plateforme pour autoriser certains chemins où les fichiers sont déposés. Le Job Server va vérifier dans un fichier si le chemin est autorisé ou non. Si ce n’est pas le cas, la planification sera en erreur.

Cette vulnérabilité a un base score de 9,9 sur 10, si votre plateforme SAP BusinessObjects est accessible depuis l’extérieur de votre réseau, nous vous conseillons fortement de la patcher dans la version indiquée pour empêcher les attaques.

Si vous ne pouvez pas patcher rapidement votre plateforme, il existe une solution de contournement qui consiste à ajouter un paramétrage sur le Job Server pour créer une liste de chemin autorisé. Cependant les anciennes planifications vers des mauvais chemins seront en erreurs, il faudra les replanifier vers un chemin autorisé.

Références

Inscrivez-vous gratuitement à notre prochaine démo sur la solution

VOUS SOUHAITEZ ÊTRE RAPPELÉ RAPIDEMENT ?

Laissez-nous vos coordonnées et nous vous recontactons dans les plus brefs délais !

Articles récents
Évènements à venir
Newsletter DeciVision

Soyez notifiés de nos derniers articles de blog, de nos prochains webinars et nos actualités !