Összefoglaló
Az SAP termékek sérülékenységei váltak ismertté, melyeket kihasználva a támadó biztonsági korlátozásokat kerülhet meg, XSS támadást vagy szolgáltatás-megtagadást hajthat végre. A sérülékenységeket kiküszöbölő megoldás már beszerezhető a gyártótól.
Leírás
A biztonsági frissítés az alábbi sérülékenységeket javítja:
- Hozzáférési ellnőrzés hiánya (Missing Authorization check) az EA-DFPS segédprogramban és az SAP NetWeaver ADBC Demo programokban.
- XSS (Cross-Site Scripting) sérülékenység az SAP NetWeaver Authentication and SSO-ban, az SAP NetWeaver Generic Object szolgáltatásokban és az Enterprise Portal-ban.
- Továbbfejlesztett jogosultsági ellenőrzés az SAP GUI for Java-hoz.
- Szolgáltatás-megtagadás előidézhetősége az SAPCAR-ban.
- Nem megfelelő naplózás az SNOTE-ban.
- XML validálás hiánya az SAP NetWeaver Web Services Configuration UI-ban.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Cross Site Scripting (XSS/CSS)Deny of service (Szolgáltatás megtagadás)
Other (Egyéb)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: blogs.sap.com