CH azonosító
CH-13407Angol cím
SAP Patches Critical Clickjacking VulnerabilitiesFelfedezés dátuma
2016.07.11.Súlyosság
MagasÉrintett rendszerek
SAPÉrintett verziók
SAP HANA Enterprise,
SAP Solution Manager,
SAP Enterprise Portal: Federated Portal Network,
SAP Startup Service,
SAP Sybase termékek,
Összefoglaló
Az SAP havi biztonsági frissítései olyan sérülékenységeket orvosolnak, amelyeket többek között clickjacking, szolgáltatásmegtagadásos, jogosultság kiterjesztéses, kódbefecskendezéses és cross-site scripting támadásokhoz lehet kihasználni.
Leírás
A frissítésben szereplő javítások döntő többsége clickjacking sérülékenységet orvosol különböző SAP termékekben.
Az SAP Solution Manager kódbefecskendezési hibájának kihasználásával a támadók tetszőleges kódot futtathatnak, bizalmas információkat szerezhetnek, adatokat módosíthatnak, magas privilégium szintű felhasználókat hozhatnak létre és akár szolgáltatásmegtagadást idézhetnek elő.
A további javított sérülékenységek között szerepel pl.
- az SAP Sybase termékek szolgáltatásmegtagadásos sérülékenysége,
- az SAP Startup Service puffer túlcsordulásos sérülékenysége,
- az SAP Enterprise Portal: Federated Portal Network szolgáltatásmegtagadásos sérülékenysége,
- az SAP HANA Enterprise jogosultságkiterjesztéses sérülékenysége.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Cross Site Scripting (XSS/CSS)Deny of service (Szolgáltatás megtagadás)
Hijacking (Visszaélés)
Information disclosure (Információ/adat szivárgás)
Manipulation of data
Security bypass (Biztonsági szabályok megkerülése)
execute arbitrary code
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.securityweek.com
Gyártói referencia: erpscan.com
Gyártói referencia: scn.sap.com
