SAP NetWeaver GRMGApp XML外部实体和安全绕过漏洞
SAP NetWeaver GRMGApp XML外部实体和安全绕过漏洞
发布日期:2013-01-31
更新日期:2013-02-23
受影响系统:
SAP NetWeaver 7.x
描述:
--------------------------------------------------------------------------------
SAP NetWeaver是SAP的集成技术平台和自从SAP Business Suite以来的所有SAP应用的技术基础。
SAP NetWeaver在实现上存在安全漏洞,可被恶意用户利用泄露敏感信息并绕过某些安全限制。
1,由于应用没有正确限制访问,GRMGApp内存在错误,可被利用向Gateway或Message服务器发送管理员命令;
2,在解析外部XML实体时,GRMGApp内存在错误,可被利用泄露本地文件。
<*来源:Dmitry Chastukhin
链接:http://secunia.com/advisories/52272/
http://erpscan.com/advisories/dsecrg-13-002-sap-grmgapp-xxe-and-authentication-bypass/
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
SAP
---
SAP已经为此发布了一个安全公告(dsecrg-13-002)以及相应补丁:
dsecrg-13-002:[DSECRG-13-002] SAP GRMGApp – XXE And Authentication Bypass
链接:http://erpscan.com/advisories/dsecrg-13-002-sap-grmgapp-xxe-and-authentication-bypass/
评论暂时关闭