Уязвимость BDU:2015-10399

Дата: 05.06.2015. Автор: CISO CLUB. Категории: Уязвимости

Идентификатор: BDU:2015-10399.

Наименование уязвимости: Уязвимость программной интеграционной платформы SAP NetWeaver, позволяющая нарушителю получить сведения о доступности внутренних сетевых служб.

Описание уязвимости: Уязвимость программной интеграционной платформы SAP NetWeaver существует из-за недостаточного ограничения доступа к методу GetSecNetworkId (SAPControl). Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить сведения о доступности внутренних сетевых служб при помощи специально сформированного SOAP-запроса. SAP NetWeaver Application Server отправит ответ на специально сформированный SOAP-запрос через 1000 мс, если соответствующий сетевой порт закрыт (сетевая служба недоступна), и через 50-70 мс, если сетевой порт открыт (сетевая служба доступна)

Уязвимое ПО: Сетевое программное средство SAP SE SAP NetWeaver 7.4 |

Наименование ОС и тип аппаратной платформы: Windows 64-bit | Windows 32-bit | Windows Mobile 32-bit | Windows Mobile 64-bit |

Дата выявления: 05.06.2015.

CVSS 2.0: AV:N/AC:L/Au:N/C:P/I:N/A:N

Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)

Возможные меры по устранению:
Использование рекомендаций разработчика, доступных зарегистрированным пользователям:
https://service.sap.com/sap/support/notes/927637
https://service.sap.com/sap/support/notes/1439348
https://service.sap.com/sap/support/notes/1569955
.

Статус уязвимости: Подтверждена производителем

Наличие эксплойта: Существует

Информация об устранении: Уязвимость устранена

Идентификаторы других систем описаний уязвимости: SAP ID:927637. SAP ID:1439348. SAP ID:1569955. ERPSCAN-529.

Прочая информация:

Тип ошибки CWE: CWE-200

Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://service.sap.com/sap/support/notes/927637
https://service.sap.com/sap/support/notes/1439348
https://service.sap.com/sap/support/notes/1569955

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Поделиться ссылкой

CISO CLUB

Об авторе CISO CLUB

Редакция портала cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора CISO CLUB

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *