漏洞信息详情
SAP Web应用服务器多个安全漏洞
- CNNVD编号:CNNVD-200611-118
- 危害等级: 低危
- CVE编号: CVE-2006-5785
- 漏洞类型: 设计错误
- 发布时间: 2006-11-07
- 威胁类型: 远程
- 更新时间: 2007-08-08
- 厂 商: sap
- 漏洞来源: Nicob nicob@nicob....
漏洞简介
SAP Web应用服务器可给企业用户带来更高的互操作性和灵活性,为产品增加额外的Web服务。
SAP Web应用服务器的监控功能中存在以下漏洞:
1) 远程攻击者可能以运行SAP Web应用服务器用户的权限读取文件。在Windows平台下,服务默认是以SAPServiceJ2E帐号运行的。这个帐号是本地管理员组的成员。
2) 远程攻击者可以向UDP/64999端口发送\x72\xfe导致enserver.exe进程崩溃。
3) 本地用户可以利用文件泄漏漏洞通过命名管道访问用户所控制的进程,并扮演为用户SAPServiceJ2E。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
http://www.sap.com/
参考网址
来源: XF
名称: sap-enserver-dos(29981)
链接:http://xforce.iss.net/xforce/xfdb/29981
来源: BUGTRAQ
名称: 20061102 Multiple vulnerabilities in SAP Web Application Server 6.40 and7.00
链接:http://www.securityfocus.com/archive/1/archive/1/450394/100/0/threaded
来源: VUPEN
名称: ADV-2006-4318
链接:http://www.frsirt.com/english/advisories/2006/4318
来源: SECUNIA
名称: 22677
链接:http://secunia.com/advisories/22677
来源: SECTRACK
名称: 1017628
链接:http://www.securitytracker.com/id?1017628
来源: BID
名称: 20873
链接:http://www.securityfocus.com/bid/20873
来源: BUGTRAQ
名称: 20070208 Multiple vulnerabilities in SAP WebAS 6.40 and 7.00 (technicaldetails)
链接:http://www.securityfocus.com/archive/1/archive/1/459499/100/0/threaded
来源: SREASON
名称: 1828
链接:http://securityreason.com/securityalert/1828
受影响实体
- Sap Sap_web_application_server:6.40
- Sap Sap_web_application_server:7.00
补丁
暂无
评论