CH azonosító
CH-11613Angol cím
SAP Crystal Reports Connection String Processing Double Free Remote Code Execution VulnerabilityFelfedezés dátuma
2014.09.11.Súlyosság
KözepesÖsszefoglaló
Az SAP a Crystal Reports kapcsán hibajavítást adott ki. Ennek telepítésével jogosulatlan kódfuttatásra lehetőséget adó biztonsági rést lehet befoltozni.
Leírás
A sebezhetőséget egy memóriakezelési rendellenesség okozza, amely az RPT-állományok feldolgozásakor jelentkezhet. Ennek megfelelően a hiba speciálisan szerkesztett riport fájlok révén válhat kihasználhatóvá.
A biztonsági rést eddig az SAP Crystal Reports 2013 SP1 esetében lehetett kimutatni.
Megoldás
Az SAP iránymutatásainak követése (Note 1999142).
Támadás típusa
Manipulation of dataSystem access (Rendszer hozzáférés)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu
Egyéb referencia: www.zerodayinitiative.com
Egyéb referencia: websmp130.sap-ag.de
CVE-2014-5505 - NVD CVE-2014-5505
CVE-2014-5506 - NVD CVE-2014-5506