CH azonosító
CH-5565Angol cím
SAP NetWeaver Web Application Server Multiple VulnerabilitiesFelfedezés dátuma
2011.09.15.Súlyosság
AlacsonyÉrintett rendszerek
NetWeaverSAP
Web Application Server
Érintett verziók
SAP NetWeaver 7.x
SAP Web Application Server 7.x
Összefoglaló
A SAP NetWeaver Web Application Server olyan sérülékenységeit jelentették, amelyeket kihasználva a támadók bizalmas adatokhoz juthatnak, cross-site scripting (CSS/XSS) támadásokat hajthatnak végre és szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő.
Leírás
- A gyorsítótár teszt szolgáltatás egy hibáját kihasználva az ERP funkció elérhetetlenné válhat.
- Bizonyos a WEBRFC ICF szolgáltatásnak átadott bemenet nincs megfelelően ellenőrizve, mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngésző munkamenetében, az érintett oldallal kapcsolatosan.
- A SHORTCUT ICF szolgáltatás egy hibáját kihasználva bizalmas adatok szerezhetők meg.
A sérülékenységeket a SAP Web Application Server 7.00 Patch Number 95-ben jelentették. Más verziók is érintettek lehetnek.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Unspecified (Nem részletezett)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Hivatkozások
SECUNIA 45951
Gyártói referencia: service.sap.com
Gyártói referencia: service.sap.com
Gyártói referencia: service.sap.com
Egyéb referencia: www.onapsis.com
Egyéb referencia: www.onapsis.com
Egyéb referencia: www.onapsis.com