Boletines de Vulnerabilidades |
Múltiples vulnerabilidades en el componente “Internet Transaction Server” en SAP |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Confidencialidad |
Dificultad | Avanzado |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio exotico |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | Microsoft |
Software afectado | SAP "Internet Transaction Server" 4620.2.0.32301, Build 46B.323011 |
Descripción |
|
Se han descubierto múltiples vulnerabilidades en el componente "Internet Transaction Server" de SAP, que tiene la función de permitir el acceso a los usuarios a mediante un servidor web. Estos fallos son debidos a comprobaciones incorrectas de ciertos parámetros de las peticiones HTTP y residen en el archivo "wgate.dll". Explotando estas vulnerabilidades un atacante puede: -Obtener la ruta del directorio dónde el componente SAP está instalado. -Visualizar el código de algunos archivos de sistema. -Realizar un ataque de "cross-site scripting" incluyendo código Javascript en algunos parámetros HTTP. |
|
Solución |
|
Actualización de software Actualice SAP de acuerdo con las notas de aviso 598074, 595383 y 654038 http://www.sap.com |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE | |
BID | |
Recursos adicionales |
|
Bugtraq Mailing List: "SAP Internet Transaction Server" 30/08/2003 http://marc.theaimsgroup.com/?l=bugtraq&m=106229369712568&w=2 |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2003-09-15 |