Összefoglaló
A SAP NetWeaver olyan sérülékenységeit jelentették, amelyeket a támadók kihasználva cross-site scripting (XSS/CSS) támadásokat hajthatnak végre, bizalmas információkat szerezhetnek, szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő, és feltörhetik a sérülékeny rendszert.
Leírás
- A SAP Portal Federation egy hibája miatt a konfigurációs oldalak hozzáférése során nem megfelelően történik meg a hitelesítés, ami kihasználható a teljes Portal infrastruktúra megszerzésére.
- A SAP Software Deployment Manager komponens hitelesítési kérések kezelése során fellépő hibája kihasználható a szolgáltatás használhatatlanná tételéhez.
- Bizonyos meghatározatlan bemenet nincs megfelelően megtisztítva, mielőtt visszaadásra kerülne. Ezt kihasználva, tetszőleges HTML és script kódot lehet lefuttatni a felhasználó böngészőjében az érintett oldal vonatkozásában.
- A J2EE központi szolgáltatások egy nem részletezett hibája kihasználható tetszőleges fájlok olvasására vagy írására. Bővebb információ jelenleg nem áll rendelkezésre.
- A CCMS agent egy nem részletezett hibája kihasználható tetszőleges parancsok végrehajtására SIDADM jogosultságokkal.
- Az SMD agent egy nem részletezett hibája kihasználható tetszőleges alkalmazások telepítéséhez és futtatásához.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Authentication Issues (Hitelesítés)Input manipulation (Bemenet módosítás)
Misconfiguration (Konfiguráció)
Unspecified (Nem részletezett)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: service.sap.com
Gyártói referencia: service.sap.com
Gyártói referencia: service.sap.com
Gyártói referencia: service.sap.com
Gyártói referencia: service.sap.com
Gyártói referencia: service.sap.com
Egyéb referencia: archives.neohapsis.com
Egyéb referencia: archives.neohapsis.com
Egyéb referencia: archives.neohapsis.com
Egyéb referencia: archives.neohapsis.com
Egyéb referencia: archives.neohapsis.com
Egyéb referencia: archives.neohapsis.com
SECUNIA 52385