Összefoglaló
Több SAP alkalmazásban is megtalálhatóak azok a tömörítési algoritmusok, amelyekben biztonsági résre derült fény. Ezeknek a sebezhetőségeknek a kihasználásával szolgáltatásmegtagadási támadások kezdeményezhetők, de esetenként jogosulatlan kódfuttatásra is mód nyílhat.
Leírás
A sérülékenységet az SAP által alkalmazott LZC és LZH algoritmusok tartalmazzák. Ezek egyes esetekben puffertúlcsordulási hibát is előidézhetnek.
Az érintett termékek:
- SAP Netweaver Application Server ABAP.
- SAP Netweaver Application Server Java.
- SAP Netweaver RFC SDK
- SAP RFC SDK
- SAP GUI
- SAP MaxDB database
- SAPCAR archive tool.
Megoldás
Az SAP alábbi közleményieben ismertetett védelmi lépések megtétele:
2124806
2121661
2127995
2125316
Támadás típusa
Buffer ErrorsDeny of service (Szolgáltatás megtagadás)
execute arbitrary code
execute code
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
CVE-2015-2278 - NVD CVE-2015-2278
CVE-2015-2282 - NVD CVE-2015-2282
VENDOR:ftp://ftp.sap.com/pub/maxdb/current/7.6.00/
Egyéb referencia: isbk.hu