SAP NetWeaver Web Application Server sérülékenységek

CH azonosító

CH-5565

Angol cím

SAP NetWeaver Web Application Server Multiple Vulnerabilities

Felfedezés dátuma

2011.09.15.

Súlyosság

Alacsony

Érintett rendszerek

NetWeaver
SAP
Web Application Server

Érintett verziók

SAP NetWeaver 7.x
SAP Web Application Server 7.x

Összefoglaló

A SAP NetWeaver Web Application Server olyan sérülékenységeit jelentették, amelyeket kihasználva a támadók bizalmas adatokhoz juthatnak, cross-site scripting (CSS/XSS) támadásokat hajthatnak végre és szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő.

Leírás

  1. A gyorsítótár teszt szolgáltatás egy hibáját kihasználva az ERP funkció elérhetetlenné válhat.
  2. Bizonyos a WEBRFC ICF szolgáltatásnak átadott bemenet nincs megfelelően ellenőrizve, mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngésző munkamenetében, az érintett oldallal kapcsolatosan.
  3. A SHORTCUT ICF szolgáltatás egy hibáját kihasználva bizalmas adatok szerezhetők meg.

A sérülékenységeket a SAP Web Application Server 7.00 Patch Number 95-ben jelentették. Más verziók is érintettek lehetnek.

Megoldás

Telepítse a javítócsomagokat