SAP学习门户网

您的位置: 主页 > ERP资讯社区 > ERP行业聚焦 >

SAP加密算法漏洞 可以导致远程代码执行或拒绝服

来源: 互联网 字体:【 点击次数:

让小伙伴们也看看:

sap

现在,又有一个大家广泛使用的协议出现了令人意想不到的漏洞,SAP加密算法的数据压缩软件可以导致远程代码执行漏洞和拒绝服务漏洞。

这些问题的产生是因为SAP加密算法的编码采用的是当下流行的LZC和LZH压缩算法。正如之前在完整披露中提到的那样,CVE-2015-2282和CVE-2015-2278是一对越界读写漏洞。

受影响的还有一系列SAP的产品-例如各种Netweaver服务器,软件开发工具包(SDK),图形用户接口(GUI),MaxDB数据库和SAPCAR文件归档程序,而且这个漏洞同样也出现在开源的MaxDB 7.5和7.6中。

在公司核心团队发表的文章中,他们说:可以通过恶意客户端向服务器发送特制的数据包来对服务器端的组件进行攻击;一个特制的.SAR或.CAR文件发送至客户端从而触发漏洞,进而导致了中间人攻击成为可能。

Threatpost网站解释称:“处理LZC解压缩的代码很容易通过基于堆栈的缓冲区溢出来存储崩溃信息,而这种崩溃是由上面提到的越界读写导致的。LZH算法漏洞是由越界读取一个缓冲区而引起的,执行查找非简单代码的解压缩程序会使用到这个缓冲区。”

SAP的客户们可以通过访问公司门户网站的安全注意事项2124806,2121661,2127995,2125316来了解更多的详细信息

(作者:Helena)
文章Tags: SAP sap系统 SAP漏洞
除非注明,SAP学习门户网文章均为原创,网站不对内容的真实性作任何评价,因网站内容造成的任何损失均与网站无关,转载请以链接形式标明本文地址。
本文地址:http://www.sap6.com/erp/zixun/735805162015/3434.html

参与评论
    评论
关于我们 - 联系我们 - 广告服务 - 网站地图 - 版权声明 - 我要投稿 - 网站tag -