漏洞信息详情
SAP Sybase ASE XML外部实体注入漏洞
- CNNVD编号:CNNVD-201310-476
- 危害等级: 低危
- CVE编号: CVE-2013-6025
- 漏洞类型: 代码注入
- 发布时间: 2013-10-21
- 威胁类型: 远程
- 更新时间: 2013-10-22
- 厂 商: sybase
- 漏洞来源:
漏洞简介
SAP SAP Sybase Adaptive Server Enterprise(ASE)是德国SAP公司的一套关系型数据库管理系统。该系统可在数据密集型环境中使用,并具有速度快、性能稳定等特点。
SAP Sybase ASE 15.7 ESD 2版本中的XMLParse程序中存在XML外部实体注入漏洞。远程经过授权的攻击者可通过构造包含外部实体声明和实体引用结合的XML文档的SQL语句,利用该漏洞读取任意文件。如读取/etc/passwd文件,可通过以下语句实现:SELECT xmlextract(\'\'/\'\', xmlparse(\'\'<?xml version=\"1.0\" standalone=\"yes\"?><!DOCTYPE content [ <!ENTITY abc SYSTEM \"/etc/passwd\">]><content>&abc;</content>\'\'))。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.sybase.com/products/databasemanagement/adaptiveserverenterprise
参考网址
来源:US-CERT Vulnerability Note: VU#303900
名称: VU#303900
链接:http://www.kb.cert.org/vuls/id/303900
受影响实体
- Sybase Adaptive_server_enterprise:15.7
补丁
暂无
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
特别声明
本站(ZONE.CI)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
评论