SAP NetWeaver szolgáltatás megtagadásos és kódfuttatási sérülékenységek

CH azonosító

CH-6821

Angol cím

SAP NetWeaver Denial of Service and Code Execution Vulnerabilities

Felfedezés dátuma

2012.05.08.

Súlyosság

Közepes

Érintett rendszerek

NetWeaver
SAP

Érintett verziók

SAP NetWeaver 7.x

Összefoglaló

A SAP NetWeaver több sérülékenységét jelentették, amelyeket kihasználva a támadók szolgáltatás megtagadást (Denial of Service) okozhatnak, illetve feltörhetik a sérülékeny rendszert.

Leírás

  1. A disp+work.exe modul „DiagTraceR3Info()” függvényének egy hibáját kihasználva tetszőleges kódot lehet végrehajtani, amikor a Developer Trace a „Dialog” munkafolyamat „Dialog processor” folyamatára van konfigurálva, ha egy speciálisan elkészített csomagot küldenek a 32NN portra (az NN az SAP rendszer száma).
  2. A disp+work.exe modul „DiagTraceHex()”, „DiagTraceAtoms()”, „DiagTraceStreamI()”, „Diaginput()” és „DiagiEventSource()” függvényeinek a hibáit kihasználva tetszőleges kódot lehet végrehajtani, ha egy speciálisan elkészített csomagot küldenek a 32NN portra (az NN az SAP rendszer száma).

A sérülékenységeket a 7.0 EHP1 és a 7.0 EHP2 verziókban jelentették, de más kiadások is érintettek lehetnek.

Megoldás

Telepítse a javítócsomagokat

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2024-57727 – SimpleHelp Path Traversal sebezhetősége
CVE-2024-53704 – SonicOS SSLVPN Authentication Bypass sebezhetősége
CVE-2025-21377 – NTLM Hash Disclosure Spoofing sebezhetősége
CVE-2025-21194 – Microsoft Surface Security Feature Bypass sebezhetősége
CVE-2025-21418 – Windows Ancillary Function Driver for WinSock Elevation of Privilege sebezhetősége
CVE-2025-21391 – Windows Storage Elevation of Privilege sebezhetősége
CVE-2024-52875 – KerioControl CRLF injection sebezhetősége
CVE-2025-24200 – iOS sérülékenysége
CVE-2020-15069 – Sophos XG Firewall Buffer Overflow sebezhetősége
Tovább a sérülékenységekhez »