多款SAP产品拒绝服务漏洞
| CNNVD-ID编号 | CNNVD-201505-482 | CVE编号 | CVE-2015-2278 |
| 发布时间 | 2015-05-22 | 更新时间 | 2015-06-03 |
| 漏洞类型 | 缓冲区溢出 | 漏洞来源 | N/A |
| 危险等级 | 中危 | 威胁类型 | 远程 |
| 厂商 | sap | ||
漏洞介绍
SAP MaxDB等都是德国思爱普(SAP)公司的产品。SAP MaxDB是一套跨平台的、兼容ANSI SQL-92的关系数据库管理系统。SAP Netweaver Application Server(AS)ABAP和Java是一款运行于NetWeaver(为SAP应用提供开发和运行环境的应用平台)中且基于ABAP高级编程语言和Java编程语言的应用服务器。
多款SAP产品的LZH解压实现过程中存在安全漏洞。攻击者可借助non-simple代码的查询利用该漏洞造成拒绝服务(越边界读取)。以下产品及版本受到影响:SAP MaxDB 7.5版本和7.6版本,Netweaver AS ABAP,Netweaver AS Java,Netweaver RFC SDK,GUI,RFC SDK,SAPCAR归档工具。
漏洞补丁
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://service.sap.com/sap/support/notes/2127995
参考网址
来源:www.coresecurity.com
链接:http://www.coresecurity.com/advisories/sap-lzc-lzh-compression-multiple-vulnerabilities
来源:BUGTRAQ
链接:http://www.securityfocus.com/archive/1/archive/1/535535/100/0/threaded
来源:packetstormsecurity.com
链接:http://packetstormsecurity.com/files/131883/SAP-LZC-LZH-Compression-Denial-Of-Service.html
来源:FULLDISC
链接:http://seclists.org/fulldisclosure/2015/May/50
来源:FULLDISC
链接:http://seclists.org/fulldisclosure/2015/May/96
受影响实体
Sap Netweaver_rfc_sdk:- Sap Gui:- Sap Rfc_library Sap Netweaver_java_application_server:- Sap Netweaver_abap_application_server:-信息来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201505-482
评论