CH azonosító
CH-11613Angol cím
SAP Crystal Reports Connection String Processing Double Free Remote Code Execution VulnerabilityFelfedezés dátuma
2014.09.11.Súlyosság
KözepesÖsszefoglaló
Az SAP a Crystal Reports kapcsán hibajavítást adott ki. Ennek telepítésével jogosulatlan kódfuttatásra lehetőséget adó biztonsági rést lehet befoltozni.
Leírás
A sebezhetőséget egy memóriakezelési rendellenesség okozza, amely az RPT-állományok feldolgozásakor jelentkezhet. Ennek megfelelően a hiba speciálisan szerkesztett riport fájlok révén válhat kihasználhatóvá.
A biztonsági rést eddig az SAP Crystal Reports 2013 SP1 esetében lehetett kimutatni.
Megoldás
Az SAP iránymutatásainak követése (Note 1999142).
Támadás típusa
Manipulation of dataSystem access (Rendszer hozzáférés)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu
Egyéb referencia: www.zerodayinitiative.com
Egyéb referencia: websmp130.sap-ag.de
CVE-2014-5505 - NVD CVE-2014-5505
CVE-2014-5506 - NVD CVE-2014-5506