SAP NetWeaver sérülékenységek

CH azonosító

CH-8569

Angol cím

SAP NetWeaver Multiple Vulnerabilities

Felfedezés dátuma

2013.02.25.

Súlyosság

Közepes

Érintett rendszerek

NetWeaver
SAP

Érintett verziók

SAP NetWeaver 7.x

Összefoglaló

A SAP NetWeaver olyan sérülékenységeit jelentették, amelyeket a támadók kihasználva cross-site scripting (XSS/CSS) támadásokat hajthatnak végre, bizalmas információkat szerezhetnek, szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő, és feltörhetik a sérülékeny rendszert.

Leírás

  1. A SAP Portal Federation egy hibája miatt a konfigurációs oldalak hozzáférése során nem megfelelően történik meg a hitelesítés, ami kihasználható a teljes Portal infrastruktúra megszerzésére.
  2. A SAP Software Deployment Manager komponens hitelesítési kérések kezelése során fellépő hibája kihasználható a szolgáltatás használhatatlanná tételéhez.
  3. Bizonyos meghatározatlan bemenet nincs megfelelően megtisztítva, mielőtt visszaadásra kerülne. Ezt kihasználva, tetszőleges HTML és script kódot lehet lefuttatni a felhasználó böngészőjében az érintett oldal vonatkozásában.
  4. A J2EE központi szolgáltatások egy nem részletezett hibája kihasználható tetszőleges fájlok olvasására vagy írására. Bővebb információ jelenleg nem áll rendelkezésre.
  5. A CCMS agent egy nem részletezett hibája kihasználható tetszőleges parancsok végrehajtására SIDADM jogosultságokkal.
  6. Az SMD agent egy nem részletezett hibája kihasználható tetszőleges alkalmazások telepítéséhez és futtatásához.

Megoldás

Telepítse a javítócsomagokat