Boletines de Vulnerabilidades |
Múltiples vulnerabilidades en SAP NetWeaver |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Obtener acceso |
Dificultad | Avanzado |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio exotico |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | Comercial Software |
Software afectado |
SAP Netweaver 7.0 EHP1 (disp+work.exe versión v7010.29.15.58313) SAP Netweaver 7.0 EHP2 (disp+work.exe versión v7200.70.18.23869) |
Descripción |
|
Se han descubierto seis vulnerabilidades en SAP NetWeaver 7 que podrían permitir a un atacante remoto sin autenticar ejecutar código arbitrario y conducir a condiciones de denegación de servicio. Las vulnerabilidades se pueden explotar enviando paquetes SAP Diag especialmente diseñados al puerto remoto TCP 32NN (donde NN es el número de sistema de SAP) de un equipo que esté ejecutando el servicio "Dispatcher", parte de SAP Netweaver Application Server ABAP. Enviando diferentes mensajes, se pueden explotar las diferentes vulnerabilidades. |
|
Solución |
|
De momento lo único que se puede hacer es aplicar una serie de acciones que mitigan el impacto de las vulnerabilidades. Contactar con SAP para obtener más información (ver referencia). |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE |
CVE-2012-2511 CVE-2012-2512 CVE-2012-2513 CVE-2012-2514 CVE-2012-2611 CVE-2012-2612 |
BID | |
Recursos adicionales |
|
SAP Netweaver Dispatcher Multiple Vulnerabilities http://www.coresecurity.com/content/sap-netweaver-dispatcher-multiple-vulnerabilities SAP security note 1687910 https://websmp130.sap-ag.de/sap/support/notes/1687910 |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2012-05-16 |