CH azonosító
CH-13407Angol cím
SAP Patches Critical Clickjacking VulnerabilitiesFelfedezés dátuma
2016.07.11.Súlyosság
MagasÉrintett rendszerek
SAPÉrintett verziók
SAP HANA Enterprise,
SAP Solution Manager,
SAP Enterprise Portal: Federated Portal Network,
SAP Startup Service,
SAP Sybase termékek,
Összefoglaló
Az SAP havi biztonsági frissítései olyan sérülékenységeket orvosolnak, amelyeket többek között clickjacking, szolgáltatásmegtagadásos, jogosultság kiterjesztéses, kódbefecskendezéses és cross-site scripting támadásokhoz lehet kihasználni.
Leírás
A frissítésben szereplő javítások döntő többsége clickjacking sérülékenységet orvosol különböző SAP termékekben.
Az SAP Solution Manager kódbefecskendezési hibájának kihasználásával a támadók tetszőleges kódot futtathatnak, bizalmas információkat szerezhetnek, adatokat módosíthatnak, magas privilégium szintű felhasználókat hozhatnak létre és akár szolgáltatásmegtagadást idézhetnek elő.
A további javított sérülékenységek között szerepel pl.
- az SAP Sybase termékek szolgáltatásmegtagadásos sérülékenysége,
- az SAP Startup Service puffer túlcsordulásos sérülékenysége,
- az SAP Enterprise Portal: Federated Portal Network szolgáltatásmegtagadásos sérülékenysége,
- az SAP HANA Enterprise jogosultságkiterjesztéses sérülékenysége.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Cross Site Scripting (XSS/CSS)Deny of service (Szolgáltatás megtagadás)
Hijacking (Visszaélés)
Information disclosure (Információ/adat szivárgás)
Manipulation of data
Security bypass (Biztonsági szabályok megkerülése)
execute arbitrary code
Hatás
Loss of integrity (Sértetlenség elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.securityweek.com
Gyártói referencia: erpscan.com
Gyártói referencia: scn.sap.com