漏洞信息详情

SAP Web应用服务器多个安全漏洞

• CNNVD编号：CNNVD-200611-118
• 危害等级： 低危
  
• CVE编号： CVE-2006-5785
• 漏洞类型： 设计错误
• 发布时间： 2006-11-07
• 威胁类型： 远程
• 更新时间： 2007-08-08
• 厂        商： sap
• 漏洞来源： Nicob nicob@nicob....

漏洞简介

SAP Web应用服务器可给企业用户带来更高的互操作性和灵活性，为产品增加额外的Web服务。

SAP Web应用服务器的监控功能中存在以下漏洞：

1) 远程攻击者可能以运行SAP Web应用服务器用户的权限读取文件。在Windows平台下，服务默认是以SAPServiceJ2E帐号运行的。这个帐号是本地管理员组的成员。

2) 远程攻击者可以向UDP/64999端口发送＼x72＼xfe导致enserver.exe进程崩溃。

3) 本地用户可以利用文件泄漏漏洞通过命名管道访问用户所控制的进程，并扮演为用户SAPServiceJ2E。

漏洞公告

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

http://www.sap.com/

参考网址

来源: XF

名称: sap-enserver-dos(29981)

链接:http://xforce.iss.net/xforce/xfdb/29981

来源: BUGTRAQ

名称: 20061102 Multiple vulnerabilities in SAP Web Application Server 6.40 and7.00

链接:http://www.securityfocus.com/archive/1/archive/1/450394/100/0/threaded

来源: VUPEN

名称: ADV-2006-4318

链接:http://www.frsirt.com/english/advisories/2006/4318

来源: SECUNIA

名称: 22677

链接:http://secunia.com/advisories/22677

来源: SECTRACK

名称: 1017628

链接:http://www.securitytracker.com/id?1017628

来源: BID

名称: 20873

链接:http://www.securityfocus.com/bid/20873

来源: BUGTRAQ

名称: 20070208 Multiple vulnerabilities in SAP WebAS 6.40 and 7.00 (technicaldetails)

链接:http://www.securityfocus.com/archive/1/archive/1/459499/100/0/threaded

来源: SREASON

名称: 1828

链接:http://securityreason.com/securityalert/1828

受影响实体

• Sap Sap_web_application_server:6.40  
• Sap Sap_web_application_server:7.00  

补丁

暂无