VulDB: SAP Internet Graphics Service "PARAMS" Cross-Site Scripting
Allgemein
scipID: 3163
Betroffen: SAP Internet Graphics Service
Veröffentlicht: 06.07.2007 (Mark Litchfield, NGSSoftware)
Risiko: 
problematisch
Beschreibung
Die SAP AG ist der größte europäische und weltweit drittgrößte Softwarehersteller. Der Hauptsitz befindet sich im badischen Walldorf (Rhein-Neckar-Kreis). Tätigkeitsschwerpunkt ist die Entwicklung von Software für Groß- und mittelständische Unternehmen, die einen zentralen Zugriff auf wichtige Geschäftsdaten bezweckt, wie z. B. Kundenbestellungen, Rechnungen und Produktionsauslastung. Mark Litchfield von NGS Software beschreibt in einem Advisory eine Schwachstelle, bei der SAP Internet Graphics Service die Variable PARAMS in ADM:GETLOGFILE nicht korrekt validiert bevor sie an den Benutzer ausgegeben werden kann. Ein Angreifer kann dies ausnutzen, um einen Cross-Site-Scripting Angriff durchzuführen.
Wie bei vergleichbaren Schwachstellen ist hier aufgrund der Kritikalität der zugrundeliegenden Systeme Vorsicht geboten, obschon eine XSS-Lücke oftmals auf Anwender und nicht das System als solches abzielt. Es gilt hier, die entsprechenden Patches des Herstellers baldmöglichst einzuspielen um die Gefahr einer Ausnutzung zu minimieren.
Exploiting
Klasse: Cross Site Scripting
Lokal: Ja
Remote: Ja
Exploit: –
Milw0rm: –
Nessus: –
ATK: –
Gegenmassnahmen
Status: Es wurde ein Patch herausgegeben.
Bestätigung: –
Massnahme: Ein Upgrade auf die aktuellste Software-Version durchführen.
Link: http://www.sap.com
Snort: –
Pattern: –
Quellen
Advisory: http://www.ngssoftware.com/advisories/medium-risk-vulnerability-in-sap-internet-graphics-server/
CVE: CVE-2007-3613
OSVDB: 36480
Securityfocus: 24775
Secunia: 25950
X-Force: 35280
Securitytracker: 1018339
VUPEN: ADV-2007-2452
Securiteam: –
Tecchannel: –
Heise: –
smSS: –
Buchtipp: Marc Ruef (2007), Die Kunst des Penetration Testing, C&L Verlag, ISBN 3936546495 (amazon.de)
