Se han publicado tres vulnerabilidades que afectan a SAP NetWeaver y que podrían permitir a un atacante remoto ejecutar código arbitrario.
NetWeaver es una plataforma
compuesta por todas las aplicaciones SAP con objeto de lograr una mejor
integración entre dichas aplicaciones, utilizar estándares para asegurar la
interoperabilidad, aportar una gran flexibilidad, y reducir los costos. SAP
NetWeaver es ampliamente utilizado en el mundo empresarial.
En Zero Day Initiative (ZDI) han anunciado
tres vulnerabilidades en "msg_server.exe"
en SAP NetWeaver que podrían ser utilizadas por un atacante remoto sin
autenticar para ejecutar código arbitrario. Son debidas a faltas de
comprobación del tamaño de determinados parámetros y cadenas antes de
utilizarlos.
Cuando se procesar paquetes con
"opcode 0x43" y "sub-opcode 0x04", se utiliza un
campo en el que el usuario indica el tamaño de la cadena "Parameter Name" y otros parámetros.
De esta forma, un paquete especialmente manipulado podría provocar una
corrupción de memoria y ser aprovechado para ejecutar código remoto en el
contexto del proceso en ejecución.
SAP ha publicado una
actualización para corregir estas vulnerabilidades.
Más información:
SAP Netweaver ABAP msg_server.exe Parameter
Value Remote Code Execution
Vulnerability
SAP Netweaver ABAP msg_server.exe Opcode 0x43
Remote Code Execution
Vulnerability
SAP Netweaver ABAP msg_server.exe Parameter
Name Remote Code Execution
Vulnerability
Juan José Ruiz
No hay comentarios:
Publicar un comentario